Le scandale n'est pas loin.
En Février dernier, Microsoft publiait un plug-in pour Firefox baptisé ".NET Framework Assistant". Or il semblerait que ce plug-in ait ouvert une brèche énorme dans le sécurité du navigateur libre de la Fondation Mozilla.
A tel point que Firefox l'a bloqué :
Jusqu'ici il n'y a pas vraiment de scandale, Microsoft n'est pas le premier et ne sera certainement pas le dernier à éditer un plug-in pas assez sécurisé.
Le problème vient plutôt du fait que la faille ouverte est "critique", y compris d'après les équipes de Microsoft qui ont édité deux correctifs de sécurité, l'un en Mai – qui proposait la suppression de l'assistant pour le Framework .NET – et un patch, ce 13 Octobre sensé colmater la brèche. La faille permettait d'installer des logiciels à l'insu de l'utilisateur.
Mais dans cette affaire, c'est surtout la manière dont l'installation s'est effectuée qui fait scandale.
Microsoft a utilisé Windows Update pour "modifier" Firefox et lui introduire une faille similaire à celle d'Internet Explorer : "La raison c'est que .NET Framework 3.5 SP1 installe un plug-in 'Windows Presentation Foundation' dans Firefox.", reconnaît l'équipe de Redmond chargée de la sécurité.
De quoi relancer les suspicions sur Microsoft et l'utilisation de Windows Update qui pèse dans l'affaire de l'installation du navigateur par défaut et du choix imposé par Bruxelles ?
Nulle ne le sait, mais Microsoft semble avoir joué avec le feu.
Sources :
Le billet du Security & Research Defense et les deux correctifs de Microsoft.
Lire aussi :
Les rubriques Sécurité, Développement Web et .NET de Développez.com
Firefox : la page de détection des plug-ins périmés officiellement lancée
Les concurrents de Microsoft pensent qu'il utilisera Windows Update pour tenter de favoriser Internet Explorer
Et vous ? :
Pensez-vous que Microsoft a volontairement ouvert une brèche dans Firefox ?
Que penser de l'utilisation de Windows Update lorsque celui-ci modifie un programme tiers ?
Firefox victime d'une faille de sécurité ouverte par Windows Update
Microsoft reconnait qu'un plug-in pour .NET est concerné
Firefox victime d'une faille de sécurité ouverte par Windows Update
Microsoft reconnait qu'un plug-in pour .NET est concerné
Le , par Gordon Fowler
Une erreur dans cette actualité ? Signalez-nous-la !