sábado, 17 de outubro de 2009

Microsoft envenena o Firefox com plugin malicioso



Um add-on que a Microsoft silenciosamente instalou para o Mozilla Firefox fevereiro passado deixa o browser aberto a ataques externos, os engenheiros de segurança da Microsoft reconheceram esta semana.

Um dos 13 boletins de segurança que a Microsoft lançou terça-feira passada não afeta apenas o Internet Explorer (IE), mas também o Firefox, graças a um plug-in  empurrado goela abaixo dos usuários do Firefox pela Microsoft  via Windows Update.

"Apesar de a vulnerabilidade estar em um componente  do IE , existe um vetor de ataque para os usuários do Firefox também", admitiram os engenheiros da Microsoft em um post do blog de segurança, pesquisa e defesa  da empresa  na terça-feira. "A razão é que. NET Framework 3.5 SP1 instala um plug-in "Windows Presentation Foundation" no Firefox. 

Os engenheiros da Microsoft descreveram a ameaça de um possível "navegar-e-ser infectado", situação que requer apenas que os atacantes  atraiam os usuários do Firefox a um site falsificado, com o código malicioso.

Muitos usuários e especialistas reclamaram quando a Microsoft empurrou a atualização para usuários do .NET Framework 3.5 Service Pack 1 (SP1) em  fevereiro passado, incluindo Susan Bradley, uma colaboradora para o popular newsletter Windows Secrets.

". NET Framework assistente [o nome do add-on injetado no Firefox ] resulta que  pode ser instalado no Firefox sem a sua aprovação", Bradley observou em 12 de fevereiro passado. "Embora tenha sido instalado pela primeira vez com o programa de desenvolvimento da Microsoft Visual Studio, eu vi esse . NET componente adicionado ao Firefox, como parte do patch da Família .NET."

O que era particularmente irritante para usuários era que uma vez instalado, o .NET Add-on era virtualmente impossível de remover do Firefox. Os habituais botões "Desativar" e "Desinstalar"  no Firefox  foram deixados cinzas em todas as versões do Windows, exceto o Windows 7, deixando a maioria dos usuários sem  alternativa que não seja a pesquisar através do registro do Windows, uma tarefa potencialmente perigosa, já que um passo em falso poderia afetar o PC. Vários sites postaram indicações sobre a forma complicada para conseguir desativar o Add-on do Firefox, incluindo Annoyances.org.

Annoyances.org também disse que a ameaça para os usuários do Firefox é grave. "Esta atualização adiciona ao Firefox uma das vulnerabilidades mais perigosas presentes em todas as versões do Internet Explorer: a habilidade para sites de, maneira fácil e silenciosamente, instalar software no seu computador", disse o site de sugestões e dicas . "Desde que esta falha de projeto é uma das razões [porque] você pode ter inicialmente escolhido  abandonar o IE em favor de um navegador mais seguro como o Firefox, você pode querer remover esta extensão com  a maior pressa possível."

Especificamente, o plug-in  .NET está ligado uma tecnologia da Microsoft apelidada ClickOnce, que permite a aplicações .NET  automaticamente o download e execução dentro de outros navegadores.

A Microsoft reagiu às críticas sobre o método que utilizou para instalar o add-on no Firefox  através da emissão de uma outra atualização no início de maio, que tornou possível desinstalar ou desativar. NET Framework Assistant. Não fez, no entanto, pedir desculpas aos usuários do Firefox para a "mancada" de forçar o add-on em seus navegadores sem sua permissão explícita - como geralmente é o processo para instalar  add-ons ou extensões no Firefox.

Esta semana, a Microsoft não revisitou a origem do Add-on .NET , mas simplesmente disse que usuários do Firefox devem desinstalar o componente se eles não foram capazes de implementar as correções previstas no boletim de atualização MS09-054 .

Segundo a Microsoft, a vulnerabilidade é "crítica", e também podem ser explorados contra os usuários executando qualquer versão do IE, incluindo o IE8.

Fonte: http://www.computerworld.com/s/article/9139459/Sneaky_Microsoft_plug_in_puts_Firefox_users_at_risk

Por essas e por outras que o melhor a fazer é migrar para o Linux e ficar definitivamente protegido das lambanças da M$.

Nenhum comentário:

Postar um comentário