Firefox victime d'une faille de sécurité ouverte par Windows Update
Microsoft reconnait qu'un plug-in pour .NET est concerné
Le 2009-10-19 09:44:24, par Gordon Fowler, Expert éminent sénior
Le scandale n'est pas loin.
En Février dernier, Microsoft publiait un plug-in pour Firefox baptisé ".NET Framework Assistant". Or il semblerait que ce plug-in ait ouvert une brèche énorme dans le sécurité du navigateur libre de la Fondation Mozilla.
A tel point que Firefox l'a bloqué :
Jusqu'ici il n'y a pas vraiment de scandale, Microsoft n'est pas le premier et ne sera certainement pas le dernier à éditer un plug-in pas assez sécurisé.
Le problème vient plutôt du fait que la faille ouverte est "critique", y compris d'après les équipes de Microsoft qui ont édité deux correctifs de sécurité, l'un en Mai – qui proposait la suppression de l'assistant pour le Framework .NET – et un patch, ce 13 Octobre sensé colmater la brèche. La faille permettait d'installer des logiciels à l'insu de l'utilisateur.
Mais dans cette affaire, c'est surtout la manière dont l'installation s'est effectuée qui fait scandale.
Microsoft a utilisé Windows Update pour "modifier" Firefox et lui introduire une faille similaire à celle d'Internet Explorer : "La raison c'est que .NET Framework 3.5 SP1 installe un plug-in 'Windows Presentation Foundation' dans Firefox.", reconnaît l'équipe de Redmond chargée de la sécurité.
De quoi relancer les suspicions sur Microsoft et l'utilisation de Windows Update qui pèse dans l'affaire de l'installation du navigateur par défaut et du choix imposé par Bruxelles ?
Nulle ne le sait, mais Microsoft semble avoir joué avec le feu.
Sources :
Le billet du Security & Research Defense et les deux correctifs de Microsoft.
Lire aussi :
Et vous ? :
En Février dernier, Microsoft publiait un plug-in pour Firefox baptisé ".NET Framework Assistant". Or il semblerait que ce plug-in ait ouvert une brèche énorme dans le sécurité du navigateur libre de la Fondation Mozilla.
A tel point que Firefox l'a bloqué :
Jusqu'ici il n'y a pas vraiment de scandale, Microsoft n'est pas le premier et ne sera certainement pas le dernier à éditer un plug-in pas assez sécurisé.
Le problème vient plutôt du fait que la faille ouverte est "critique", y compris d'après les équipes de Microsoft qui ont édité deux correctifs de sécurité, l'un en Mai – qui proposait la suppression de l'assistant pour le Framework .NET – et un patch, ce 13 Octobre sensé colmater la brèche. La faille permettait d'installer des logiciels à l'insu de l'utilisateur.
Mais dans cette affaire, c'est surtout la manière dont l'installation s'est effectuée qui fait scandale.
Microsoft a utilisé Windows Update pour "modifier" Firefox et lui introduire une faille similaire à celle d'Internet Explorer : "La raison c'est que .NET Framework 3.5 SP1 installe un plug-in 'Windows Presentation Foundation' dans Firefox.", reconnaît l'équipe de Redmond chargée de la sécurité.
De quoi relancer les suspicions sur Microsoft et l'utilisation de Windows Update qui pèse dans l'affaire de l'installation du navigateur par défaut et du choix imposé par Bruxelles ?
Nulle ne le sait, mais Microsoft semble avoir joué avec le feu.
Sources :
Le billet du Security & Research Defense et les deux correctifs de Microsoft.
Lire aussi :
Et vous ? :
-
neo.51Expert éminentJe crois surtout que ce qui avait bien énervé mozilla c'est que le plugin s'installe automatiquement sans prévenir l'utilisateur.
En gros en schématisant microsoft à quand même installé une faille de sécurité sur firfox sans prévenir ni l'utilisateur ni mozilla. Je comprends qu'il l'aient un peu mauvaisele 19/10/2009 à 9:57 -
DoubleUMembre expérimentéPris en flagrant délit là...
La fondation Mozilla a bien fait d'en rajouterle 19/10/2009 à 10:56 -
entreprise38InactifMouais, et de l'autre côté Mozilla qui laisse des logiciels tiers installer des plugins à son navigateur. La moindre des choses serait de proposer à l'utilisateur -après détection de l'installation- de désinstaller/désactiver ledit plugin, ce que n'a toujours pas été fait.
=> Carton rouge pour Microsoft ET Mozilla.le 19/10/2009 à 13:18 -
UtherExpert éminent séniorAu contraire, Firefox fait déjà ça depuis la version 3.0. Je ne crois pas que les autres navigateurs le fassent.
Envoyé par entreprise38
Ceci dit ça ne vaut que pour les applications installée normalement, Si une application malicieuse veut installer une modification furtivement, il n'y a techniquement aucune solution 100% efficace pour l'en empêcher, à partir du moment ou l'installeur à les droits nécessaires.le 19/10/2009 à 14:24 -
entreprise38InactifJe parlais des plugins, donc des applis qui ne sont pas installées "normalement".
Sécuriser ça est très simple, avec des listes des plugins présents "à l'extinction précédente" et "suite au dernier démarrage, le tout crypté pour empêcher lesdites applis tierces de toucher à ça.
Ne pas avertir l'utilisateur qu'un truc a été installé sur son navigateur, c'est moyen (pour un browser qui se veut au service de ses utilisateurs). Et l'excuse du "les autres n'en font pas autant" n'est pas valable.
Si en plus on ne peut même pas désactiver/désinstaller ça facilement, c'est trèèèèès moyen (les choses ont peut être évolué de ce côté là).le 19/10/2009 à 18:23 -
bountykilerMembre régulierJ'ai eu le message pas plus tard qur ce matin, j'avoue m'etre posé la question de ou pouvait bien provenir le plugin qui posait problème. Au moins comme cela, j'ai la réponse.
Mais c'est clair que Micorsoft qui installe des plugins sans prévenir, c'est pas normal. Le minimum serait de pouvoir au moment de l'installation désactiver cela.
entreprise38 > Mon avis est que le fautif dans l'histoire est bien Microsoft. Après tout, c'est pas la faute à Mozilla si des applis tiers (Microsoftienne ou autre) installent des plugins sans prévenir.le 19/10/2009 à 22:49 -
entreprise38InactifDans ce quoi pourquoi se focaliser sur Crosoft ?
Adobe fait pareil avec Flash et Shockwave depuis bien plus longtemps - failles fournies ^^, et j'en passe...le 19/10/2009 à 23:46 -
UtherExpert éminent séniorJustement c'est ce qui est fait depuis la version 3.0 de firefox. Enfin pour les plugins de type extension, les plugins classique de type flash/JVM, n'ont pas de système de contrôle des version(Cela devrait arriver avec la version 3.6)Sécuriser ça est très simple, avec des listes des plugins présents "à l'extinction précédente" et "suite au dernier démarrage, le tout crypté pour empêcher lesdites applis tierces de toucher à ça.
Par contre, je doute que se soit crypté car ça ne servirait à rien. Le cryptage n'a jamais été une solution valable empêcher l'accès a des données locales comme les mots de passes, historiques, etc. parcequ'il faut bien que la clé de décryptage soit accessible en local pour que le navigateur puisse décrypter ces infos. Autrement, on serait bon pour saisir un mot de passe maitre à chaque démarrage de l'application.
Il faut être conscient qu'il est impossible d'empêcher une application malveillante de faire ce qu'elle veux a partir du moment ou elle a les droits nécessaires. Au mieux, on peut juste lui compliquer un peu la tache.le 20/10/2009 à 0:12 -
entreprise38InactifJustement, les applis de Crosoft & co ne sont pas ce qu'on pourrait appeler des logiciels malveillants
Ce qui me gène le plus, c'est le manque de contrôle de la part de Mozilla Firefox - on perd le contrôle de son navigateur, et ça, ça craint du boudin.le 20/10/2009 à 0:33 -
Federico_muy_bienMembre habituéBaaaa il y a bien une solution pour que Windows n'installe plus de truc automatiquement mais bon c'est radical ... installer Linux ...
(Attention loin de moi l'idée d'ouvrir un troll !!!)
Sinon Firefox fait l'effort de permettre à tout le monde de proposer des plug-ins !! Quand on veut installer des plugins, Firefox nous prévient bien qu'il ne faut installer que des add-ons dont l'auteur est certifié !!
1) Si l'add-on est installé automatiquement cette demande n'est plus présente ... pas bien !!
2) meme si il y avait eu une demande, qui peut se douter que Microsoft n'est pas un auteur verifié ??!
Donc la faute entiére à Microsoft !!!!!!le 20/10/2009 à 9:31