Mozilla、Microsoft製Firefoxアドオンを無効化 - ITmedia エンタープライズ(情報元のブックマーク数)
MS09-054で解決しているそうだが、Firefoxユーザに無効化を勧めていたとのこと。気付かなかった・・・
WebブラウザFirefox向けMicrosoft製アドオンが、ブロックリストに追加された。Mozillaが10月16日、公式ブログで明らかにした。
Mozilla、Microsoft製Firefoxアドオンを無効化 - ITmedia エンタープライズ
ブロックリストとは、そのアドオンをインストールするとFirefoxの動作に問題が発生するとMozillaが判断したアドオンのリストで、このリストにあるアドオンはインストールできない。また既にインストールされている場合は無効化される。
新たにブロックリストに追加されたのは、「Microsoft .NET Framework Assistant」と「Windows Presentation Foundation」。これらはMicrosoftの「.NET Framework 3.5 SP1」をインストールすると自動的にFirefoxにインストールされるもので、Microsoft自身が10月のセキュリティアップデートで深刻な脆弱性を認めた。根本の原因となる脆弱性は10月13日公開のセキュリティ更新プログラム「MS09-054」を適用すればFirefoxでも解決されると強調しているが、Firefoxユーザーに対し無効化を勧めていた。
ってことで、MSとMozillaで調整して攻撃の対象だと思ったが違ったので、ブロックリストから削除したとのことです。
Since the diary went up last evening there is now information on the Mozilla Blog. It appears that Mozilla and Microsoft agreed jointly on this action. The Mozilla blocklist has also been updated to reflect.
InfoSec Handlers Diary Blog - Mozilla disables Microsoft plug-ins?
しかし実際には、多くのユーザーはアドオンを無効化したり、削除することができないため、MozillaではMicrosoftと連絡を取り合い、強制的にブロックすることで両者が合意したという。
Mozilla、Firefox上のMicrosoft製一部アドオンを一時強制ブロック -INTERNET Watch Watch
その後18日になって、このアドオンが今回の脆弱性の攻撃対象ではないことをMicrosoftが確認したとして、Mozillaではブロックリストから除外したという。
関連URL
- Calendar of Updates: Windows, Security Updates and Software Help
- Calendar of Updates: Windows, Security Updates and Software Help
- Mozilla、Firefox上のMicrosoft製一部アドオンを一時強制ブロック -INTERNET Watch
- .NET Framework Assistant Blocked to Disarm Security Vulnerability at Mozilla Security Blog
- Add-ons Blocklist
- 危険な拡張機能がインストールされています - インフラ管理者の独り言(はなずきん@酒好テム管理者)
- Firefox Blocks MS Add-on to Tighten Security - F-Secure Weblog : News from the Lab
- MozillaがMS製アドオンの無効化を解除、攻撃経路にはならず - ITmedia エンタープライズ