BT

Uma vulnerabilidade de segurança do .NET afetou o Firefox

por Abel Avram , traduzido por Carlos Mendonça em 30 Out 2009 |

Uma vulnerabilidade que atinge o Internet Explorer através do .NET também afetou o Firefox. O culpado no caso do Firefox, um add-on do .NET, foi bloqueado pela Mozilla.

XBAP ou XAML Browser Application, é uma uma tecnologia utilizada para se criar aplicações RIA para Windows. Ela tem propósito similar ao Silverlight, mas também pode ser utilizada para se criar aplicações mais complexas, como aquelas que podem se valer de todo o poder do .NET e do XAML, mas feitas para rodarem no browser. Aplicações XBAP possuem a extensão .xbap e rodam dentro de um sandbox. Podem ser carregadas pelo IE a partir do sistema local ou através de um click em um link. O XBAP foi lançado junto com o .NET 3.0 e ficou disponível apenas para o IE 6 até o 8, mas o .NET 3.5 instala um plug-in para o chamado "Windows Presentation Foundation" (WPF) que permite que usuários do Firefox rodem aplicações XBAP.

De acordo com Mike Shaver, VP de Engenharia na fundação Mozilla, uma vulnerabilidade de segurança no .NET, no componente XBAP, foi descoberta e reportada em julho. A mesma vulnerabilidade foi mais tarde detalhada pelo boletim de segurança MS09-054, considerado crítico, com alguns detalhes a mais no blog Security Research and Defense da Microsoft. Apesar de outras vulnerabilidade de segurança já terem sido descobertas no passado, esta é diferente porque afeta não só o IE, mas também o Firefox.

A Microsoft tem trabalhado com a Mozilla para retificar esta questão. Para proteger seus usuários, a Mozilla colocou o plug-in do WPF em uma lista de plug-ins bloqueados junto com outros problemáticos. O Firefox verifica automaticamente estes plug-ins banidos, informando o usuário quando encontra um, conforme mostrado abaixo:

image

O usuário pode escolher desabilitar o plug-in, mas pode escolher ignorar a ameaça.

A Microsoft liberou um update de segurança cumulativo para o IE, o KB 974455, que passou a ser distribuído para os usuários através dos updates automáticos há mais de uma semana. Apesar de muitos usuários já terem aplicado o patch, a Mozilla disse que está mantendo o plug-in do WPF na lista de bloqueados até que o número de sistemas sem ele torne-se relativamente pequeno. Esta imagem mostra o plug-in do WPF na lista de bloqueados:

image

Nós devemos mencionar que outro plug-in importante está na lista de bloqueados do Firefox, o Apple QuickTime Plugin v7.1.*. A razão é similar: possibilidade de execução de código remotamente (bug 430826).

Essa abordagem fez com que alguns usuários questionassem a atitude da Mozilla. Por exemplo, Bertrand Le Roy perguntou:

Isso parece muito bom, mas é de se imaginar: a Mozilla vai desabilitar o Flash na próxima vez que eles tiverem um problema de segurança?

Mike Shaver respondeu:

Nós poderemos se a Adobe concordar que esta é a melhor forma de lidar com a vulnerabilidade ou pra providenciar uma proteção temporária até um update ser aplicado.

De acordo com Shaver, esta abordagem foi decidida pela Mozilla enquanto trabalhava junto com a Microsoft no problemas.

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

Dê sua opinião

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber menssagens dessa discussão
Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber menssagens dessa discussão

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber menssagens dessa discussão

Dê sua opinião

Conteúdo educacional

Feedback geral
Bugs
Publicidade
Editorial
InfoQ Brasil e todo o seu conteúdo: todos os direitos reservados. © 2006-2014 C4Media Inc.
Política de privacidade
BT