Em fevereiro desse ano, a Microsoft liberou o service pack 1 para o .NET Framework 3.5 através do Windows Update. A atualização instala em computadores que tiverem o navegador Firefox um plugin chamado “Windows Presentation Foundation”. De acordo com engenheiros da própria Microsoft, o plugin faz com que tanto o navegador da Mozilla quanto o Internet Explorer fiquem vulneráveis a ataques.
Esse plugin faz com que uma explora uma falha na tecnologia chamada ClickOnce, que faz com que aplicativos .NET sejam baixados e executados dentro dos navegadores.Hackers e crackers podem então usar essa vulnerabilidade para direcionar o usuário para uma página com código malicioso, infectando o computador.
O conselho do grupo de engenheiros é o mesmo para ambos os navegadores: desative o plugin. No IE7, basta ir nas preferências de segurança e desativar aplicações XAML. No Firefox, basta ir no menu Ferramentas, escolher a opção complementos, ir na aba plugins e desativar o plugin Windows Presentation Foundation.
Já desativei o meu
Para desinstalá-lo por completo, é necessário fazer certas modificações no registro do Windows. A Microsoft disponibilizou o procedimento nesse link.
[PCWorld]
[Atualização, às 15:32]: Post corrigido com as dicas do leitor Paulo nos comentários. Valeu!
[Atualização, às 19:30, 17/10]: O leitor Micael Silva avisou que a Mozilla desativou remotamente os plugins perigosos no Firefox.
Plugins bloqueados
Na verdade há equivocos na matéria.
O ClickOnce é um forma fácil de instalação para programas feitos em .net, que precisa receber uma ordem de instalação do Cliente.
Ou seja, NÃO é possível baixar uma aplicação por ele, sem que o usuário aceite, isso é regra na ferramenta.
Também, não tem nenhum relato sobre qualquer tipo de falha nesse plugin.
Não concordo com o método da Microsoft de instalar na “surdina”, mas, dizer que é inseguro… acho exagero.
Paulo,
Primeiro, obrigado pelas correções. Eu fui mais a fundo na notícia e vi que o site Annoyances.org publicou um artigo em que chamou o plugin de ClickOnce. Pode ter acontecido uma certa confusão dos repórteres da PCWorld nessa parte e eu republiquei.
Segundo, já sobre a falta de relatos de falhas desse plugin, eu confio nos engenheiros da Microsoft que foram na conferência BlackHat em julho e que viram uma demonstração da vulnerabilidade (Alerta: link para PDF, cuidado).
Entendo, mas é como escrevi (No comentário logo abaixo desse), a falha foi descoberta, provada, mas, não há relato que esteja sendo usada, é nesse sentido que falei =)
Ainda não, né? Agora é só uma questão de tempo, hehehe.
Com certeza! haha
Opa, acabei de ler sobre essa noticia…
NA verdade com a leitura do texto do Blog, ficou parecendo que a ferramenta permite a instalação sem o consentimento do usuário, mas, na verdade, Crackers podem usar uma Vulnerabilidade para conseguir isso.
Ai a coisa muda de figura =)
O firefox esta bloqueando automaticamente.
Do mesmo modo que a Mozilla pode fazer o Firefox bloquear ‘recursos’, ela pode ativar eles tbm?!