Mozilla prend des plugins Microsoft en grippe

Le par  |  11 commentaire(s)
Firefox-blocklist

Pour des raisons de sécurité, Mozilla a pris la décision de bloquer dans Firefox l'extension .NET Framework Assistant et le plugin Windows Presentation Foundation. Pour l'extension, l'état d'alerte est du passé.

Firefox-blocklistStupeur pour certains utilisateurs Windows avec un petit gel de Firefox suivi d'un étrange message concernant la désactivation d'éléments Microsoft dont ils ne soupçonnaient peut-être même pas la présence au sein de leur navigateur.

Le dernier Patch Tuesday de Microsoft qui a été des plus volumineux avec notamment le comblement d'une vulnérabilité dans toutes les versions d'Internet Explorer, a mis Mozilla en état d'alerte et par mesure de précaution, l'extension .NET Framework Assistant a été bloquée dans Firefox en fin de semaine dernière à l'aide du mécanisme dédié Blocklist. Pareil sort a été réservé au plugin Windows Presentation Foundation.

Ce mécanisme de blocage automatique n'a été que rarement utilisé, soit moins d'une dizaine de fois. Une première mise en œuvre en 2007, et l'on se souviendra par exemple qu'en mai 2008 Mozilla avait bloqué un pack de langue vietnamien infecté par un virus informatique.

Mozilla a informé Microsoft de sa mesure de blocage qui a en quelque sorte donné son aval. Dimanche, Microsoft a toutefois indiqué que l'extension .NET Framework Assistant n'était pas un vecteur d'attaque. En conséquence, Mozilla a retiré ladite extension de sa blocklist et les utilisateurs concernés vont donc comme par " magie " voir cette extension s'activer de nouveau. Pour le plugin WPF, Mozilla se tient prêt à ordonner sa réactivation dès qu'il sera retiré de la blocklist.

Cette alerte concerne une extension qui avait suscité la polémique. C'est via Windows Update ( mise à jour .NET Framework 3.5 SP1 ) que Microsoft avait diffusé l'extension .NET Framework Assistant pour une installation dans Firefox à l'insu de l'utilisateur, et pour ce dernier l'impossibilité de la désinstaller simplement. La polémique avait été calmée suite à la décision de Microsoft de mettre en ligne une mise à jour rétablissant le mécanisme de désactivation et désinstallation usuel d'une extension Firefox pour .NET Framework Assistant ( voir notre actualité ).

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #535041
/....concernant la désactivation d'éléments Microsoft dont ils ne soupçonnaient peut-être même pas la présence au sein de leur navigateur...../

si il n'y avait que ça........

Le #535081
Mise a jour:

Dans le courant de la nuit, l'équipe de Mozilla a mis à jour son blog de sécurité puis explique:
"Microsoft vient de confirmer que l'extension Framework Assistant n'est pas un vecteur d'attaque et nous l'avons retiré de la liste de blocage".

Edit:
désolé j'ai pas lu jusqu'au bout j'avais pas vu vous le disiez dans votre article en même temp
Le #535271
ça me fait rire quand je disais qu'il y avait des plugins MS installé d'office un ignare a ri (comme un bênet).. ben allez voir vous y verrez meme des DRM !

j'ai tout désinstallé depuis un moment et comme par hasard c'est plus fluide, surtout sur les sites ou on a de la vidéo.

Allez, j'en balance une autre, sur chaque config avec chipset intel, intel rajoute de la macrovision qui s'active quand on fait appel à lui (Là c'est facile a voir)
Le #535281
Par contre que mozilla bloque des plugins a distance, là ça pose un sérieux problème !!! liberté, choix, indépendance, ect
A l'avenir ils bloqueront, lors d'une mise a jour, les extensions qui ne leur plaisent pas ?
En parlant de sécurité, ils feraient mieux de mettre leurs certificats a jour, c'est pas sérieux :

https://fr.www.mozilla.com/fr/blocklist/

Plus mozilla avance en parts de marché, plus ils empruntent le chemin de microsoft, qui eux font quand même les choses en finesse.
Le #535601
A quoi servent ces deux plug-ins ?
Le #535701
DMZ, je viens de regarder attentivement sur 3 versions récentes de Firefox :

Firefox Mac (branded) ( Tiger et Snow Leopard ) ->pas de plugins MS ou Intel

Firefox (branded) Freebsd ->pas de plugins MS ou Intel

IceWeasel Debian ->pas de plugins MS ou Intel

Firefox (unbranded) Gentoo ->pas de plugins MS ou Intel

C'est peut être dans le code spécifique a Windows, tu as regardé de ce coté là pour en être sûr ?

En ce qui concerne le truc Intel pour la vidéo, es-tu sûr que ce n'est tout simplement pas un truc installé par les pilotes intel dans Windows ?
Le #535721
salut,

Si c'est ce que je dis, enfin me semble, pour les pilotes intel dans windows.C'est pareil quand tu installes les drivers ati, tu as tjs la dll macrovision qui s'installe, tout ça a ton insu car les pdf n'en parlent jamais, même quand c'est remis a jour.

Pour iceweasel, c'est normal, c'est sous linux et debian ne le permettrait pas.

Pour les autres ça se met automatiquement depuis l'installation de Framework, je crois, ça s'installe tout seul, .Moi je les ai désactivé depuis un moment, idem pour "drm stock netscape plugin"


[URL=http://img4.imageshack.us/i/pluginfirefox.png/][IMG]http://img4.imageshack.us/img4/2682/pluginfirefox.th.png[/IMG][/URL]

Sinon :

http://support.microsoft.com/kb/963707
Le #535801
Dans l'ordre ( et merci pour la capture, ça rends les choses plus claires ) :

Sur http://kb.mozillazine.org/Windows_Media_Player#Restoring_the_standard_plugin on apprend qu'en fait c'est Windows Media Player qui installe "drm stock netscape plugin" dans le dossier "C:\Program Files\Mozilla Firefox\plugins" et si ce dernier n'existe pas, dans "C:\PFiles\Plugins" ce qui sert aux utilisateurs de SeaMonkey par exemple.
Je pense que tu peux raisonnablement cesser de penser que Mozilla inclut du code pour la gestion des verrous numériques. Mozilla ne peut pas être tenu pour responsable du comportement abusif d'un logiciel d'installation avec des privilèges suffisants pour écrire dans c:\Program Files, c'est de la responsabilité de l'administrateur.

Ensuite : macrovision. Cette protection est inclus par le logiciel qui gère ton lecteur DVD. Macrovision ni plus ni moins que CSS en fait.
Le #535931
ok

j'ai pas de logiciel de lecture dvd, j'ai mp HC qui gere tout ça avec ffdshow et core avc. Pour mon graveur j'ai un firmware hacké qui le dézone entr' autres. c'est bien les drivers intel qui m'installe ces drm. d'ailleurs il y en a d'autres avec ati, et sony et ms ( Microsoft Kernel DRM Audio Descrambler Filter et drmclient...)

j'avais un tas d'autres plugins ( et drm ) que j'ai désinstallé avec about:config sur false et à la sauvage ( bdr + suppression system32\dllcache). ça se réinstalle a chaque mise jour, modifs mais faut passr par les autorisations et les permissions et mettre en lecture only.

PS: j'ai tjs décrié la politique d'installation des extensions dans firefox mais quand tu chopes mr nitot pour lui en parler dans des seminaires linux ou autres, il tente d'éviter la question en disant que c'est à l'utilisateur de faire gaffe...
C'est libre ok, mais y'a moyen de mieux protéger son navigateur des extesnions proposées sur le site mozilla. A quand un audit des extensions les plus populaires...?
Le #536011
Je comprend ta position, je ne trouve pas non plus très judicieux de charger automatiquement ce qui se trouve dans un dossier sans mécanisme d'autorisation opt-in intégré a Firefox.

Je suppose que c'est une facilité (héritage historique de Netscape) qui permet d'intégrer des plugins assez simplement (VLC, mplayer, gnash, ... ).

D'un autre côté, tu es dans un bouillon de culture de logiciels fermés : tu exécutes des logiciels d'installation (fourbes) qui se permettent d'écrire dans des endroits inattendus et par extension installer du code en contradiction avec tes attentes.
Peut-on vraiment blâmer QUE Mozilla dans ce contexte si opaque ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]