Microsoft の Firefox 向けアドオンがブロックリスト入り

2009年10月17日(土) 13時53分 by level
B ?

Another 朝顔日記経由、.NET Framework 3.5 SP1 をインストールすると、Firefox のアドオンとしてインストールされてしまう「Microsoft .NET Framework Assistant(拡張機能)」と「Windows Presentation Foundation(プラグイン)」がブロックリスト入りしました(Bug 522777)。

Another 朝顔日記 に記載されている手順でブロックリストを手動更新すると、即座に以下のようなウィンドウが表示されました。

問題を生じる可能性のあるプラグイン

再起動すると、以下のようにプラグインが無効化されています。拡張機能のほうはずっと以前にアンインストールしていたのでもともと表示されていませんが、上のウィンドウにも表示されるように、システム内には残っていて、Firefox からは見えているようです。

プラグイン

なお、「追加情報」をクリックして表示される Add-ons Blocklist にはまだこの情報は記載されていません。記載されました。

Mozilla Security Blog によると、この処置に対する Microsoft からの承諾を得ているということです。

10/19更新:結局、Microsoft .NET Framework Assistant(拡張機能)」のほうは問題なしということでブロックリストから削除されました(Bug 523010)。新しいブロックリストが配布されると、以前この拡張機能を有効にしていたユーザは、再び有効になるそうです。

10/20更新:Shaver のブログに今回の一連の騒動の経緯が述べられています。それによると、Mozilla が強制的にアドオンを無効にしたことに対しては海外では業務で使用しているケースもあり反発もあったようです。また、Windows Presentation Foundation の修正が Firefox からは認識できないということも問題を複雑にしていたようです。

Mozilla、Microsoft の .NET アドオンを一時強制無効化 - スラッシュドット・ジャパンAnonymous Coward の発言より

MS09-054が当たっていれば問題の脆弱性は修正されています。しかしMS09-054はWindows Presentation Foundationプラグインのバージョンを更新しませんでした。なぜなら、脆弱性があったのはプラグインのバイナリではなく、そこから呼び出される.NET Frameworkのランタイムのほうだからです。

このためFirefoxのプラグインAPIからは脆弱性が修正済みかどうか判別できないので、仕方なくブロックしているというのが現状です。

10/20時点では、再びブロックリストが更新され、以下のように、Windows Presentation Foundation は問題があるとされているものの、ユーザの判断で再び有効にできるようになっています(ソフトブロック)。

プラグイン:Windows Presentation Foundation
最終更新: 2009年10月20日(火) 21時48分

コメント

コメントはありません。

トラックバック

トラックバックは検索対象外です。