Start Empfohlen Microsoft und Mozilla lassen Web-Benutzer über „Varianten“-Schwachstelle verheddern

Microsoft und Mozilla lassen Web-Benutzer über „Varianten“-Schwachstelle verheddern

18
0


Das deaktivierte .NET Framework Assistant Firefox-Plug-in.Bei der derzeit unbestreitbar wichtigsten Schwachstelle, die während der Rekordrunde von Windows-Patches am vergangenen Dienstag behoben wurde, konnten die beiden am stärksten von dem Problem betroffenen Unternehmen – Microsoft und in geringerem Maße Mozilla – nicht anders, als in einem Wirrwarr von Fehlkommunikation, die zu einem großen Teil durch den Overhype aus einem Meer von Blogs verschlimmert wird. Infolgedessen sind es alltägliche Benutzer, die verwirrt und verwirrt sind, obwohl kein bekannter Exploit für die Schwachstelle existiert.

Das Problem betrifft sowohl das Add-On „.NET Framework Assistant“ als auch das Plug-In „Windows Presentation Manager“ von Microsoft für Mozilla Firefox, die beide automatisch und ohne Vorwarnung von Microsofts .NET Framework 3.5 Service installiert werden Pack 1. Einer der Microsoft-Patches von letzter Woche, wie in einem Microsoft-Bulletin erläutert, befasst sich mit der Funktionalität von 3.5 SP1, die durch diese Firefox-Erweiterungen verfügbar gemacht wird.

In der Zwischenzeit hat sich Mozilla entschieden, diese Erweiterungen auf Browserebene zu deaktivieren, aus Gründen, die von seinem Vizepräsidenten für Technik, Mike Shaver, erklärt wurden: „Wegen der Schwierigkeiten, die einige Benutzer hatten, das Add-On vollständig zu entfernen, und weil der Schwere des Risikos, das es darstellt, wenn es nicht behindert ist.“ Der Umzug erfolgte erst nach vorheriger Kontaktaufnahme mit Microsoft; und Microsoft stimmte der Entscheidung zu, sagte Shaver.

Dies widerspricht einer Vielzahl von Berichten vom Wochenende, denen zufolge Mozilla gegen Microsofts Erweiterungen vorgegangen sei.

Aber heute Morgen gab Microsoft Mozilla eine Klarstellung heraus, die anscheinend sein eigenes Missverständnis in der Angelegenheit korrigierte (oder besser gesagt, als die Wochentags-Crew hereinkam, um die Wochenend-Crew zu entlasten): Die Erweiterungen selbst haben nichts mit der Patch-Dienstag-Schwachstelle zu tun. Dies obwohl in Microsofts eigenem Security Bulletin am vergangenen Dienstag darauf hingewiesen wurde: „Firefox-Benutzer, die das Windows Presentation Foundation (WPF)-Plug-in ausführen und es nicht deaktiviert haben, sollten dieses Sicherheitsupdate ebenfalls anwenden.“

Als Shaver diese Nachricht erfuhr, gab er heute Morgen bekannt, dass Mozilla Entsperren die beiden Erweiterungen [CORRECTION] das .NET Framework Assistant-Add-on, wodurch das WPF-Plug-in blockiert bleibt.

Dies führt jedoch zu einem völlig neuen Problem, wie Betanews heute Morgen festgestellt hat: Aus den gleichen Gründen, aus denen die Leute zuvor Probleme hatten, diese Erweiterungen zu deinstallieren, werden sie jetzt Probleme haben neu installieren sie – obwohl .NET Framework Assistant in der Firefox-Erweiterungsliste erscheint, ist die Schaltfläche „Aktivieren“ ausgegraut, und das gleiche gilt für „Windows Presentation Foundation“ in der Plug-Ins-Liste von Firefox.

Um etwas Licht in dieses wilde Thema zu bringen, hier nun einige klärende Fakten:

  • .NET Framework 3.5 SP1 war nicht einen der Patches, die Microsoft am vergangenen Dienstag vorgestellt hat. Als Nutzer diese Woche zum ersten Mal auf die beiden Firefox-Erweiterungen aufmerksam wurden, lag es wahrscheinlich daran, dass sie SP1 gleichzeitig mit den kritischen und wichtigen Patch Tuesday-Updates installiert haben. Eines dieser Updates war der Microsoft-Patch, der die Funktionalität der Erweiterungen vorübergehend deaktiviert.
  • Die ClickOnce-Funktionalität war nicht Gegenstand der fraglichen Sicherheitsanfälligkeit. ClickOnce ist der mittlerweile äußerst ironische Markenname von Microsoft für eine Technologie, die es .NET-Anwendungen ermöglicht, sich selbst über das Web zu aktualisieren, ein Prozess, der erhöhte Rechte erfordert, da installierter Code ersetzt wird. Während die Möglichkeit besteht, dass .NET-Code aufgrund des ClickOnce-Problems mit erhöhten Rechten ausgeführt wird, beinhaltet der fragliche Angriffsvektor hier etwas ganz anderes – eine breite Ebene möglicher Angriffsvektoren, die bisher unerschlossen sind (es erfordert einige Intelligenz ), für die .NET Framework nur ein Fallbeispiel war.
  • Es sind nicht die Erweiterungen, die in diesem Fall anfällig sind, sondern die .NET Framework-Funktionalität, die sie über den Browser aktivieren.
  • Microsoft hat nicht geschwiegen, seine Firefox-Erweiterungen veröffentlicht zu haben. Tatsächlich waren ihre Ingenieure ziemlich stolz auf sie, obwohl sich nur wenige unabhängige Quellen die Mühe machten, ihre Existenz zu vertuschen, bis sie zu einem Ärgernis wurden (und wir sind auch hier schuldig). Zugegeben, die Welt strömt nicht auf Scott Hanselmans Blog, obwohl Ingenieure nur so viel tun können, um für ihre Bemühungen zu werben. Was Microsoft im Nachhinein versäumt hatte, war, Benutzern die Möglichkeit zu geben, die Änderung ihrer Firefox-Einstellungen abzulehnen oder diese Erweiterungen zu deinstallieren, sobald sie dort erschienen. Dies hat sich nun zu einem neuen Problem entwickelt: das Fehlen einer direkten Möglichkeit, wieder aktivieren die Plug-Ins, sobald sie deaktiviert wurden. Betanews experimentiert immer noch damit, einen Weg zu finden, dies zu tun (es tut es nicht Bearbeitung beinhalten about:config, leider), und wir werden es Ihnen melden, sobald wir es finden.

Während einer Präsentation von Sicherheitsingenieuren der Hustle Labs auf der Black-Hat-Konferenz im Juli wurde ein Microsoft-Mechanismus namens XBAP als Beispiel für die Demonstration eines viel größeren Problems verwendet: die Wahrscheinlichkeit von Sicherheitslücken, wenn interoperable Codekomponenten namens variant Datentypen zum Austausch von Informationen. Kurz darauf begann Microsoft, sich mit der Möglichkeit eines Exploits mit einem Angriffsvektor zu befassen, von dem sie befürchteten, dass er von der Hustle Labs-Demo inspiriert werden könnte.

XBAP ist ein Facilitator für XAML, die XML-basierte Layoutsprache, die HTML beim Erstellen von Web-Apps ersetzt. Microsoft begann im August 2008 mit der Einführung von XBAP mit Service Pack 1 für .NET Framework 3.5. Als Reaktion auf die damalige Kritik, dass das Unternehmen dazu neigt, webbasierte Funktionen nur für den Internet Explorer zu veröffentlichen, produzierte es auch ein Add-On „.NET Framework Assistant“ für Firefox sowie ein Plug-In, das XBAP in Firefox aktivierte.

Aber keine der Erweiterungen gab Firefox-Benutzern eine Option nicht zur Deinstallation. Als sich herausstellte, dass die „ClickOnce“-Technologie von .NET potenziell angreifbar war, mussten Firefox-Benutzer sie manuell deinstallieren. Als Benutzer am vergangenen Wochenende erfuhren, dass Mozilla diese Add-Ons blockiert, nahmen einige Blogger an, dass es an der ClickOnce-Angelegenheit lag, und meldeten es als solches; ClickOnce ist hier eigentlich nicht verwandt.

Das Problem in Zukunft könnte eine Reihe von Firefox-Benutzern sein, deren Browser repariert werden müssen.


17:35 Uhr EDT 19. Oktober 2009 · Als Reaktion auf unsere Geschichte von heute Morgen sagte Mike Shaver, Vice President für Engineering von Mozilla, gegenüber Betanews, dass durch die Entsperrungsaktion von heute Morgen nur das .NET Framework Assistant-Add-On für Firefox freigegeben wurde, nicht das Windows Presentation Foundation-Plug-In. Mozilla ist der Ansicht, dass dieses Plug-in Firefox-Benutzer immer noch der Hauptanfälligkeit aussetzen kann, die im Microsoft-Patch vom letzten Dienstag behoben wurde, solange dieses Plug-in aktiviert bleibt.

„Uns wurde von Microsoft mitgeteilt, dass die [.NET Assistant] Add-on war anfällig (und tatsächlich war das WPF-Plug-in an einem Punkt nicht, aber wir haben das im Gespräch korrigiert) und auf die Bestätigung von ihnen gewartet, dass dies nicht der Fall war, bevor wir es entsperrten“, sagte Shaver gegenüber Betanews. „Wir haben es nicht korrigiert uns selbst; wir aktualisierten basierend auf einer Microsoft-Korrektur.“



Vorheriger ArtikelPerformance-Drain: Der erste öffentliche Wahrnehmungstest der Windows 7-Ära
Nächster ArtikelMicrosoft schließt LinkedIn… in China

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein