由於受到IE漏洞波及而決定在Firefox上攔阻微軟外掛的Mozilla,在接到企業抱怨,以及與微軟討論之後,周日(10/18)將其中一個外掛程式排除在攔阻名單之外,並在周一(10/19)把另一個改成「軟性攔阻」。
日前微軟釋出安全更新,其中MS09-54所修補的漏洞可能透過外掛程式而波及Firefox瀏覽器,因此Mozilla決定攔阻Microsoft .NET Framework Assistant 1.0以及Windows Presentation Foundation(WPF)兩個外掛程式。而現在,Mozilla已經把.NET Framework Assistant外掛從攔阻名單中撤除,而WPF外掛則改為「軟性攔阻」(soft block),也就是說使用者可設定成「啟動」。
Mozilla工程副總裁Mike Shave在部落格上表示,收到來自微軟的確認,表示Framework Assistant外掛程式並不屬該漏洞攻擊的機制後,我們已從攔阻名單中將它移除。我們在攔阻名單中將它移除之前,很努力要改善使用者經驗,特別是那些希望我們撤銷攔阻WPF外掛的企業使用者。
這個決策轉變顯然引起外界的猜測,對此Mike Shave另闢一部落格以時間還原的方式做詳細的說明。他表示,整起事件必需回溯到2009年七月,Mark Dowd、Ryan Smith,以及David Dewey在黑帽大會上公佈了IE的一個漏洞,以及其他受波及的軟體,如Firefox外掛,Google的Native Client,但未包括了Firefox本身,以及WPF外掛程式。
上周一(10/12)微軟的安全研究暨開發團隊在官網上貼了一篇部落格表示,黑帽大會上公布的這個IE漏洞,可能讓駭客利用WPF外掛裡的一個IE元件攻擊Firefox使用者。這個外掛是作為Windows .NET Framework 3.5的一部份在散布。
他指出,上周二(10/13)微軟釋出了MS09-054安全更新,修補這個IE漏洞。接著周五(10/16)Mozilla連絡微軟,以了解整個情況。當時與微軟討論了漏洞的特性,以及解除安裝這個外掛或擴充程式的困難,因此雙方同意,在找到保護使用者的最佳方法之前,先行攔阻這個外掛程式。微軟的部落格更新指出,安裝MS09-054修補程式的Firefox使用者將可受到保護,不會受此漏洞影響。
上周六(10/17),在使用者的反應下(主要是企業使用者), Mozilla開始為Firefox 3.5使用者著手「可撤銷」的攔阻(就是軟性攔阻)功能。在與微軟討論下認為,這個擴充程式可能受漏洞影響,因此決定繼續攔阻。
周日微軟通知Mozilla,.NET Framework Assistant外掛程式並不在漏洞攻擊機制內,因此將它從攔阻名單移除。若未安裝MS09-054修補程式,WPF外掛可能會遭漏洞攻擊,因此還是保留在攔阻名單內。周一Mozilla將WPF改成「軟性攔截」,就是使用者可以在確定修補IE漏洞之後重啟外掛。
Shave表示,微軟正在監控漏洞的修補比例,在達到高部署率之後將會移除其餘的攔阻名單,預計需要再兩天的時間。
協助Mozilla解決該問題的微軟的程式管理總監Stephanie Boesch表示,安全是所有微軟客戶的第一要務,因此我們一起決定,該採取的最佳行動是在Firefox使用者修補這個IE漏洞之前攔阻這個外掛程式。她並感謝Mozilla的合作解決該問題。(編譯/郭和杰)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12