Firefox : Microsoft installe une extension sans autorisation

Le par  |  19 commentaire(s)
Firefox_ClickOnce

L'extension Microsoft .NET Framework Assistant ajoutée insidieusement dans Firefox refait parler d'elle.

Firefox_ClickOnceFin 2008, la firme de Redmond a mis en ligne une mise à jour cumulative Microsoft .NET Framework 3.5 Service Pack 1 qui en début d'année a été délivrée via Windows Update. Avec cette mise à jour, les utilisateurs Firefox sous Windows ont eu la surprise de voir apparaître dans leur navigateur une extension Microsoft .NET Framework Assistant.

Cette installation insidieuse ( sans l'autorisation de l'utilisateur ) avait fortement déplu, d'autant que le mécanisme de désinstallation ne coulait pas de source. Un article récemment publié sur le blog Security Fix de The Washington Post remet au goût du jour la petite polémique, qui n'a peut-être plus lieu d'être ?

L'extension .NET Framework Assistant pour Firefox permet au navigateur d'ajouter la technologie ClickOnce via laquelle les utilisateurs peuvent installer des applications Windows par simple clic sur un lien proposé dans une page Web. Comme Microsoft ne bénéficie pas d'une image des plus reluisantes en matière de sécurité informatique auprès de certains, le site Annoyances.org n'a par exemple pas hésité à pointer du doigt avec cette extension, l'ajout dans Firefox de " l'une des plus dangereuses vulnérabilités présentes dans toutes les versions d'Internet Explorer : la possibilité pour les sites Web d'installer facilement et discrètement du logiciel sur votre PC ".

Un avis très tranché que Security Fix ne partage pas forcément et dont les critiques s'orientent vers l'impossibilité évoquée plus haut de désinstaller, du moins simplement, ladite extension. Microsoft a en effet eu la très mauvaise idée de désactiver le mécanisme usuel de désinstallation des extensions Firefox pour .NET Framework Assistant. Dans le gestionnaire des modules complémentaires, le bouton généralement idoine ( Désintaller ) est ainsi grisé. Avouez qu'une installation insidieuse et de surcroît une désinstallation à priori non autorisée, il y a de quoi énerver plus d'un utilisateur Firefox...

Reste que la désactivation de l'extension demeure opérationnelle, et quant à la désinstallation, elle est tout de même possible, à condition d'opérer des modifications dans la base de registre Windows qui est toujours à manier avec d'extrêmes précautions, sous peine de ne pouvoir redémarrer l'OS.


Fin de polémique depuis le mois de mai ?
Ce qui était vrai en début d'année, ne l'est toutefois plus totalement depuis le mois de mai. Assez discrètement, Microsoft a en effet prêté une oreille attentive aux critiques et a publié une mise à jour rendant de nouveau opérationnel le bouton Désinstaller dans le gestionnaire des extensions de Firefox.

Une prise de conscience salutaire, mais on peut se demander si avec cette mauvaise publicité, Microsoft ne s'est pas définitivement mis à dos certains utilisateurs, et a brisé une confiance fragile accordée.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #467881
Ce qui me tente a dire que les failles de winxdob sont bel et bien des backdoor voulu par m$ afin de mieux nous en....tubés
à l'insu de notre plein gré évidement.
il ne les corrigent qu'une fois découvertes

big brother chassez le naturel il revient au galop.

Le #467891
Bonjour,

Maintenant, une seule question comment firefox peut-il autoriser l'installation d'une extension non voulue par l'utilisateur ?


Le #467911
@carabao : = +100000

de la part de M$, on est plus étonné... mais un tel trou chez FF m'étonne...
Le #467941
carabao, kalix > l'utilisateur qui installe .net 3.5 doit être administrateur. donc l'installeur en question peut faire ce qui lui chante sur le système, aucun soft n'y pourra jamais rien...

mapool >faut pas exagérer non plus...
Le #467951
J'ai réussi à virer cette daube depuis un moment déja. Il reste 3 autres Adware Microsoft installé sans mon consentement et que j'ai pu désactiver mais pas supprimer. Il s'agit de:
1) Microsoft DRM. DRM netscape network Object et DRM Store Netscape plug-in.
2) Windows Media Player Plug-in Dynamic Link Library
3) Windows Présentation foundation(WPF) plug-in for Mozilla Browsers.
Les deux premiers ont été installé je pense avec la mise-à-jour vers Windows Media player 12.
Le dernier par l'installation ou la "mise à jour" de Office 2003.

Là, exactement le même problème et même punition que ce qui est écrit dans l'article. Je pense que ces adwares sont signés ce qui permet de mieux les dissimuler. Mes anti-spyware et antivirus ne les détectent pas.

Le #467961
Faut quand même dire qu'ils ne se gênent pas, pour le coup...

- ils ne demandent pas si ça nous chante ou non d'installer ce plugin pour un logiciel tiers (encore, qu'ils ajoutent des plugins à leurs logiciels, c'est pas un problème, qu'ils fassent de même sur les logiciels des autres, c'est déjà une autre paire de manche)
- Et comme par hasard, on ne peut pas le désinstaller via la procédure standard (enfin jusqu'à début mai, apparemment). Faut pas essayer de me faire croire que c'est un "oubli malencontreux"...

C'est ce que je n'aime pas avec les logiciels propriétaires : on peut bien te faire installer tout et n'importe quoi, à ton insu, sous prétexte d'une "mise à jour" dont on ne sait rien de ce qu'elle fait/modifie dans le système a besoin de s'installer.
Le #468001
@luchy mapool >pfff

prouttttt..................

@gr54 faut pas exagérer......
a peine, peut etre n'as tu pas vu l'émission c'est dans l'air il y a quelques jours de cela.
tu aurais pu entendre d'une haute personnalité que le réseau échelon existe , bien que certain ici essaierons de te dire le contraire.
donc je maintiens ce que je dis about b.b.
c'est dommage je n'ai pas gardé le lien d'un gars autorisé en la matière qui recense environ 120 points par lesquels krosoft peut te rendre visite a l'improviste
ps il n'est pas non plus contraignant d'interdire les mises a jours automatique de tous les logs qui le veulent,ce qui renforce un peu la sécurité.
ni de bloquer les ip krosoft et bien d'autres qui font ch....
mais bon chacun crois en son dieu...

il y en a aussi et pas des moindres qui te disent que les chambres a gaz....ect ect....


Le #468061
je me demande ce ken pensent opera et son procès de forcer crosoft à intégrer des navigateurs dans le dodows
Le #468111
gr54

Donc si l'utilisateur doit être administrateur, on ne peut pas dire que l'extension de microsoft s'est installée automatiquement. Il faut l'autorisation de l'administrateur qui le fait en connaissance de cause.


Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]