Firefox blockierte Add-on von Microsoft [2. Update]

Mozilla hat das Firefox-Add-on "Microsoft .NET Framework Assistant" auf die Liste blockierter Zusatzmodule gesetzt (Blocklist). Wie Mike Shaver, Mozillas Vice President of Engineering, in seinem Weblog erklärt, geschah dies nach Rücksprache mit Microsoft. Ein Tech Bulletin des Betriebssystemherstellers empfiehlt ebenfalls, das Add-on zu deaktivieren.

Microsoft installiert das Add-on seit Februar ungefragt im Rahmen des Service Pack 1 für das .NET-Framework 3.5 auf Windows-Systemen. Nach dem Update erschienen im Add-on-Fenster von Firefox zwei neue Module: Der "Microsoft .NET Framework Assistant" sowie das Plug-in "Windows Presentation Foundation". Bei der ersten Revision des Service Packs ließen sich die Komponenten allenfalls deaktivieren; die Deinstallation gelang nur über einen Registry-Eingriff. Ein Update vom Mai korrigierte diesen Missstand, änderte aber nichts an der ungefragten Installation des Zusatzmoduls.

Im Rahmen des Patchdays vom vergangenen Mittwoch wurde bekannt, dass sich über die von Microsoft eingepflanzten Zusatzmodule eine Sicherheitslücke im .NET-Framework ausnützen ließ. Die Lücke ermöglichte es bösartigen Websites, auf dem Rechner Software ohne Zutun des Anwenders zu installieren. Das Microsoft-Update MS09-054 stopft die Lücke.

[Update]:

Hü und Hott bei Mozilla: Zumindest der "Microsoft .NET Framework Assistant" wurde wieder von der Blocklist entfernt. Man habe von Microsoft die Bestätigung erhalten, dass das Plug-in nicht zur Ausnutzung der beschriebenen Sicherheitslücken einsetzbar sei, erklärte Mike Shaver. Bevor man die Blockierung des WPF-Plug-ins aufhebe, müsse man aber noch einiges abklären. Genauere Informationen zum Vorgehen von Mozilla in den vergangenen Tagen sollen laut Shaver in Kürze folgen.

(ghi)