Cerca nel blog

2009/06/06

Microsoft aggiorna Firefox di nascosto, patch pronta

Microsoft installa plug-in per Firefox senza chiedere il permesso; pronta la correzione


L'articolo è stato aggiornato dopo la pubblicazione iniziale.

C'è stata una discreta sollevazione degli utenti Windows di Firefox quando è emersa la notizia che l'aggiornamento .Net Framework 3.5 Service Pack 1, installato da Windows Update e risalente a febbraio, installa anche un'estensione per Firefox senza avvisare l'utente.

Secondo Annoyances.org, sito dedicato alla pubblicazione delle magagne di Windows, quest'estensione (chiamata Microsoft .NET Framework Assistant) consente alle applicazioni .NET di installarsi con una singola cliccata, dando in sostanza "ai siti Web il potere di installare software sul vostro PC facilmente e silenziosamente".

Questa potenziale vulnerabilità non è stata ancora sfruttata con intenti ostili, ma è una questione di principio. L'irritazione degli utenti è stata aumentata dal fatto che la disinstallazione dell'estensione di Microsoft era inizialmente molto più difficile rispetto a quella delle altre estensioni (era necessario editare a mano il Registro).

Microsoft ha ora aggiornato l'estensione per renderla leggermente meno ostica. Se volete semplicemente disattivarla, andate in Firefox, scegliete Strumenti - Componenti aggiuntivi, localizzate Microsoft .NET Framework Assistant e cliccate su Disattiva. Infine riavviate Firefox per rendere attiva la modifica.

Se invece volete rimuoverla, la mia prova pratica indica che dovete eseguire i seguenti passi:
  1. scaricare l'aggiornamento realizzato da Microsoft;
  2. assicurarvi che l'estensione sia attivata in Firefox;
  3. riavviare Firefox;
  4. eseguire l'aggiornamento appena scaricato;
  5. accettarne le condizioni di licenza;
  6. attendere che finisca l'esecuzione dell'aggiornamento;
  7. riavviare Windows;
  8. riavviare Firefox;
  9. andare di nuovo in Strumenti - Componenti aggiuntivi e selezionare Microsoft .NET Framework Assistant, dove troverete che la versione indicata è ora la 0.0.0;
  10. riavviare Firefox;
  11. andare per l'ennesima volta in Strumenti - Componenti aggiuntivi, selezionare Microsoft .NET Framework Assistant e cliccare su Disinstalla;
  12. riavviare ancora una volta Firefox.
Il tutto richiede soltanto una ventina di minuti del vostro tempo, che naturalmente non vale nulla.

Altri utenti segnalano nei commenti di aver potuto eseguire un numero minore di passi, ma il concetto di fondo non cambia: l'aggiornamento introduceva una vulnerabilità significativa e installava un'estensione senza informare l'utente.

E poi la gente mi chiede come mai spendo tanti soldi in più per evitare di usare Windows e il software Microsoft in generale.

Fonti: Washington Post, The Register.

Nessun commento: