Samstag, 17. Oktober 2009
Nachschlag zu KB951847 - Mozilla blockiert nunmehr ".NET Framework Assistant" Add-On - nicht mehr [Update 19.10.09]
Gibt es tatsächlich Neuigkeiten zu jenem unsäglichen KB951847? Nein, aber es gibt etwas neues zum darin enthaltenen und mehr oder minder unangekündigt installierten ".NET Framework Assistant" in Firefox-Browser:
Mozilla blockiert dieses Plugin nunmehr über die "Add-Ons Blocklist", nachdem Microsoft selbst im "Security Research & Defense"-Blog vor dem Ausnutzen einer Sicherheitslücke über dieses Add-On warnt. Über die Sicherheitslücke lässt sich Schadcode ausführen. Auch wenn Microsoft in jenem Blog-Eintrag erwähnt, dass Firefox-Anwender nach der Installation von KB974455 (dem Kumualtiven Sicherheitsupdate für Internet Explorer(!), das am 13.10.2009 veröffentlicht wurde) von diesem potenziellen Einfallstor über das ".NET Framework Assistant"-Add-On nicht mehr anfällig für diese Lücke seien, hat sich Mozilla am 16.10.2009 zum Blockieren des Add-Ons entschlossen. Dies ist, laut Mozilla Security Blog, in Absprache mit Microsoft geschehen.
Bleibt zu hoffen, dass Microsoft aus diesem Desaster die Konsequenzen zieht und es zukünftig unterlässt, Anwendungen von Drittanbietern ihre vermeintlich segensreichen Technikupdates unterzujubeln. Ob es allerdings so viel besser ist, dass Mozilla "unliebsame" Add-Ons blockiert, obwohl die damit einhergehende Sicherheitslücke mit einem Sicherheitsupdate geschlossen wurde, steht auf einem anderen Blatt.
[Update, 18.10.2009, 16:17]
Wer den ".NET Framework Assistant" und/oder das "Windows Presentation Foundation" (WPF)-Add-On/Plugin in Firefox-Browsern verwenden will (vorzugsweise nachdem das Kumulative Sicherheitsupdate KB974455 (MS09-054) für Internet Explorer installiert wurde), kann die "Add-Ons Blocklist" in Firefox deaktivieren. Dazu "about:config" in die Adresszeile des Firefox eingeben und anschließend den Wert "extensions.blocklist.enabled" von "true" auf "false" setzen.
[Update, 19.10.2009, 04:50]
Rolle rückwärts bei Mozilla, kaum dass etwas breiter über die Blocklist berichtet wurde.
In einem Update ihres Mozilla Security Blog-Artikels teilt Mozilla mit, dass sie die fraglichen Add-Ons nicht mehr länger auf der Mozilla Add-Ons Blocklist führen:
Microsoft has now confirmed that the Framework Assistant add-on is not a vector for this attack, and we have removed the entry from the blocklist. We are also working on a mechanism to allow Firefox users to re-enable the WPF plugin ahead of its eventual removal from the blocklist. For more information, see Mike Shaver’s latest blog post.
In jenem Blog-Post findet sich von Mike Shaver folgendes Statement:
We received confirmation from Microsoft this evening that the Framework Assistant add-on is not a mechanism for exploiting the vulnerabilities detailed in the earlier post, so we’ve removed it from the blocklist. As the blocklist update propagates to clients, the add-on should be re-enabled for users who had it previously enabled.
We’re hard at work on improving the experience for (especially enterprise) users who wish to override the blocking of the WPF plugin before we remove it from the blocklist, and I’m working on a post to clarify the events of the past few days. We (especially I) appreciate your patience and support as we work to keep our users safe and comfortable with all the tools at our disposal.
Es mutet etwas seltsam, wenn nicht wie ein Eigentor an, dass sich Mozilla zum Blockieren des/der Add-Ons entschlossen hatte, nachdem Microsoft im "Security Research & Defense"-Blog bereits mitteilte, dass die Sicherheitslücke nach der Installation des Kumualtiven Updates für Internet Explorer(!) KB974455 (MS09-054) nicht mehr bestünde. Ein Problem vor allem in Unternehmensnetzen oder von Entwicklern, welche die ClickOnce-Funktion in Firefox bereits nutzen - unabhängig davon, wie jenes ClickOnce-Add-On/Plugin (Microsoft .NET Framework Assistant, Windows Presentation Foundation/WPF) in Firefox installiert wurde.
[Update, 19.10.2009, 07:25]
Mittlerweile geht Microsoft auch im (englischsprachigen) Security Bulletin MS09-054 speziell auf die "Verwicklungen" des Sicherheitsupdates und der potenziellen Lücke im ".NET Framework Assistant"-Add-On von Firefox-Browsern ein. Im Abschnitt "Vulnerablitiy Information" findet sich im Abschnitt "FAQ for HTML Component Handling Vulnerability - CVE-2009-2529" nunmehr u.a. die folgende Bestätigung dafür, dass nach der Installation von KB974455 keine Sicherheitslücke in den fraglichen Add-Ons/Plugins von Firefox betseht:
If I use Firefox, which Internet Explorer update do I need to install?
If a computer system is configured for Automatic Update, the correct update will be downloaded and made available for installation depending on the Automatic Update configuration. In the event that a computer system is not configured for Automatic Update, users should verify which version of the Windows operating system and Internet Explorer is on their system and download the appropriate update.
If I install this security update, do I need to disable the Windows Presentation Foundation Plug-in in Firefox to be protected from this vulnerability?
No. Customers who have installed the security updates associated with this security bulletin are protected from this vulnerability.
If I have not yet applied this security update, how do I disable the Windows Presentation Foundation plug-in in Firefox?
If you have not yet applied this update, you can disable the Windows Presentation Foundation plug-in in Firefox to block this vulnerability. To do this, launch the Firefox browser, select the Tools pull-down menu, and then click Add-ons. Select the Plugins icon at the top of the Add-ons window. In the list of Plugins, select Windows Presentation Foundation 3.5.30729.1 and click Disable.
If I uninstall the .NET Framework Assistant extension, does it disable or remove the Windows Presentation Foundation plug-in?
If the .NET Framework Assistant extension is uninstalled it does not disable or remove the Windows Presentation Foundation plug-in. The .NET Framework Assistant and Windows Presentation Foundation plug-in are controlled through different screens in the Firefox Add-ons management window.
Eigentlich werden auf dieser kleinen Site keine .NET Framework-Updates behandelt, da Windows XP von Hause aus kein .NET Framework enthält. Aber dieses Update KB951847 bringt mich [...]
Aufgenommen: 17.10.2009 11:23