Microsoft の Firefox 向けアドオンがブロックリスト入り
Another 朝顔日記経由、.NET Framework 3.5 SP1 をインストールすると、Firefox のアドオンとしてインストールされてしまう「Microsoft .NET Framework Assistant(拡張機能)」と「Windows Presentation Foundation(プラグイン)」がブロックリスト入りしました(Bug 522777)。
Another 朝顔日記 に記載されている手順でブロックリストを手動更新すると、即座に以下のようなウィンドウが表示されました。
再起動すると、以下のようにプラグインが無効化されています。拡張機能のほうはずっと以前にアンインストールしていたのでもともと表示されていませんが、上のウィンドウにも表示されるように、システム内には残っていて、Firefox からは見えているようです。
なお、「追加情報」をクリックして表示される Add-ons Blocklist にはまだこの情報は記載されていません。記載されました。
Mozilla Security Blog によると、この処置に対する Microsoft からの承諾を得ているということです。
10/19更新:結局、Microsoft .NET Framework Assistant(拡張機能)」のほうは問題なしということでブロックリストから削除されました(Bug 523010)。新しいブロックリストが配布されると、以前この拡張機能を有効にしていたユーザは、再び有効になるそうです。
10/20更新:Shaver のブログに今回の一連の騒動の経緯が述べられています。それによると、Mozilla が強制的にアドオンを無効にしたことに対しては海外では業務で使用しているケースもあり反発もあったようです。また、Windows Presentation Foundation の修正が Firefox からは認識できないということも問題を複雑にしていたようです。
Mozilla、Microsoft の .NET アドオンを一時強制無効化 - スラッシュドット・ジャパンの Anonymous Coward の発言より
MS09-054が当たっていれば問題の脆弱性は修正されています。しかしMS09-054はWindows Presentation Foundationプラグインのバージョンを更新しませんでした。なぜなら、脆弱性があったのはプラグインのバイナリではなく、そこから呼び出される.NET Frameworkのランタイムのほうだからです。
このためFirefoxのプラグインAPIからは脆弱性が修正済みかどうか判別できないので、仕方なくブロックしているというのが現状です。
10/20時点では、再びブロックリストが更新され、以下のように、Windows Presentation Foundation は問題があるとされているものの、ユーザの判断で再び有効にできるようになっています(ソフトブロック)。
- モジラ、「.NET」向けFirefoxアドオンを一時的にブロック:ニュース - CNET Japan
- Mozilla、Microsoft製Firefoxアドオンを無効化 - ITmedia エンタープライズ
- 10月のマイクロソフトセキュリティ更新を確認する -INTERNET Watch
- Security Research & Defense : MS09-054: Extra info on the attack surface for the IE security bulletin - Microsoft のセキュリティ情報
- [MS09-054] Internet Explorer 用の累積的なセキュリティ更新プログラム - Firefox に関する記述はなし
- Sneaky Microsoft plug-in puts Firefox users at risk
この記事のトラックバック URL
この記事にリンクしているページ < >
- [494] http://mozilla-remix.seesaa.net/article/130522337.html
- [378] http://d.hatena.ne.jp/nakamura001/20091017/1255802233
- [324] http://okwave.jp/qa5374448.html
- [309] http://ziddy.japan.zdnet.com/qa5374448.html
- [247] http://pipes.yahoo.com/pipes/pipe.i ... xE1dnX3BGcn5w0j9zu1g
- [81] http://forums.mozillazine.jp/viewtopic.php?t=9253
- [76] http://forums.mozillazine.jp/viewtopic.php?p=30460
- [57] http://qanda.rakuten.ne.jp/qa5374448.html
- [48] http://oshiete1.goo.ne.jp/qa5374448.html
- [45] http://slashdot.jp/~signed-coward/journal/491081
- [40] http://forums.mozillazine.jp/viewtopic.php?p=30459
- [34] http://puppet.asablo.jp/blog/2009/10/17/4639246
- [31] http://d.hatena.ne.jp/noushibou/20091017/1255764827
- [29] http://oshiete1.goo.ne.jp/qa5375049.html
- [27] http://www.tumblr.com/dashboard
- [26] http://forum.mozilla.gr.jp/cbbs.cgi ... &type=49577&space=15
- [23] http://d.hatena.ne.jp/TsuSUZUKI/20091017/1255774771
- [23] http://oshiete1.watch.impress.co.jp/qa5374448.html
- [22] http://mixi.jp/view_bbs.pl?id=45833587&comm_id=644
- [19] http://questionbox.jp.msn.com/qa5374448.html
- [15] http://amigomr.dw.land.to/blog/article.php?id=1036
- [14] http://forum.mozilla.gr.jp/cbbs.cgi ... 49577&type=0&space=0
- [14] http://forums.mozillazine.jp/viewto ... t=9262&view=previous
- [13] http://oshiete1.goo.ne.jp/qa5374448.html?from=randq
- [12] http://forums.mozillazine.jp/viewtopic.php?p=30512
- [12] http://pcrescue.blog69.fc2.com/blog-entry-357.html
- [12] http://surf.ap.seikei.ac.jp/~nakano/diary/
- [11] http://okwave.jp/qa5374448.html?ans_count_asc=1
- [11] http://oshiete1.nifty.com/qa5374448.html
- [11] http://qa.cyzo.com/qa5375049.html
- [10] http://tomcat.nyanta.jp/part-4/20091017.html
- [9] http://forums.mozillazine.jp/viewtopic.php?p=30468
- [8] http://okwave.jp/qa5375049.html
- [7] http://surf.ap.seikei.ac.jp/~nakano/diary/?200910b
- [6] http://qwerty.on.arena.ne.jp/cgi-bin/bbs.cgi
- [6] http://surf.ap.seikei.ac.jp/~nakano/diary/?10180925
- [6] http://ziddy.japan.zdnet.com/qa5374448.html?ans_count_asc=1
- [5] http://d.hatena.ne.jp/sesuna/20091017/1255779436
- [5] http://forums.mozillazine.jp/viewtopic.php?t=9252
- [5] http://soudan1.biglobe.ne.jp/qa5374448.html
- [5] http://tools.rightclicksright.net/data/345187.aspx?from=rss
- [4] http://bahrain.sz.fst.fujitsu.com/retwis/timeline.php?l=1
- [4] http://mixallow.net/omo/ddf.cgi?channel=#¤ª¤â¤·¤í¥Í¥¿Â®Êó
- [4] http://mixi.jp/view_diary.pl?id=1313735083&owner_id=3459789
- [4] http://www.computerworld.com/s/arti ... irefox_users_at_risk
- [4] http://www.soukyu-mugen.com/artList113
- [4] http://www.tumblr.com/tagged/firefox
- [3] http://ccf-square.blogspot.com/2009/10/blog-post_18.html
- [3] http://firefox.rightclicksright.net ... 345038.aspx?from=rss
- [3] http://forum.mozilla.gr.jp/cbbs.cgi ... s&namber=49577&page=
- [3] http://friendfeed.com/takwady/c3d90182/microsoft-firefox
- [3] http://mixi.jp/view_diary.pl?id=1313282640&owner_id=6952851
- [3] http://slashdot.jp/firehose/
- [3] http://www.rider-n.sakura.ne.jp/blog/
- [3] http://www.tumblr.com/dashboard/46/215354750
- [2] http://bit.ly/4nbc5d
- [2] http://blog.goo.ne.jp/himajin100000 ... 2c2f2153c2e00980f127
- [2] http://buzztter.com/ja/k/firefox
- [2] http://d.hatena.ne.jp/noushibou/200910
- [2] http://d.hatena.ne.jp/nyama/20091017/1255750484
- [2] http://dullneko.justblog.jp/blog/2009/10/add-ons-may-be.html
- [2] http://forum.mozilla.gr.jp/cbbs.cgi?mode=al2&namber=49577
- [2] http://forums.mozillazine.jp/viewto ... =9253&highlight=.net
- [2] http://img.2chan.net/b/res/71923728.htm
- [2] http://longurl.org
- [2] http://oshiete1.watch.impress.co.jp/qa5375049.html
- [2] http://p2.2ch.net/p2/read.php?host= ... ey=1255768485&rc=135
- [2] http://pikapika.to/twantenna/
- [2] http://puppet.asablo.jp/blog/cat/firefox/
- [2] http://questionbox.jp.msn.com/qa5374448.html?ans_count_asc=1
- [2] http://syoichi.tumblr.com/post/215339937
- [2] http://tools.rightclicksright.net/data/345187.aspx
- [2] http://twubs.com
- [2] http://unkar.jp/read/tsushima.2ch.net/news/1255768485
- [2] http://vardhana.wordpress.com/2009/ ... icrosoft-blacklists/
- [2] http://yaruo.tumblr.com/post/215352 ... hi-microsoft-firefox
- [2] http://zapanet.info/new/hatebu3/
