BT

Disseminando conhecimento e inovação em desenvolvimento de software corporativo.

Contribuir

Tópicos

Escolha a região

Início Notícias Uma vulnerabilidade de segurança do .NET afetou o Firefox

Uma vulnerabilidade de segurança do .NET afetou o Firefox

Uma vulnerabilidade que atinge o Internet Explorer através do .NET também afetou o Firefox. O culpado no caso do Firefox, um add-on do .NET, foi bloqueado pela Mozilla.

XBAP ou XAML Browser Application, é uma uma tecnologia utilizada para se criar aplicações RIA para Windows. Ela tem propósito similar ao Silverlight, mas também pode ser utilizada para se criar aplicações mais complexas, como aquelas que podem se valer de todo o poder do .NET e do XAML, mas feitas para rodarem no browser. Aplicações XBAP possuem a extensão .xbap e rodam dentro de um sandbox. Podem ser carregadas pelo IE a partir do sistema local ou através de um click em um link. O XBAP foi lançado junto com o .NET 3.0 e ficou disponível apenas para o IE 6 até o 8, mas o .NET 3.5 instala um plug-in para o chamado "Windows Presentation Foundation" (WPF) que permite que usuários do Firefox rodem aplicações XBAP.

De acordo com Mike Shaver, VP de Engenharia na fundação Mozilla, uma vulnerabilidade de segurança no .NET, no componente XBAP, foi descoberta e reportada em julho. A mesma vulnerabilidade foi mais tarde detalhada pelo boletim de segurança MS09-054, considerado crítico, com alguns detalhes a mais no blog Security Research and Defense da Microsoft. Apesar de outras vulnerabilidade de segurança já terem sido descobertas no passado, esta é diferente porque afeta não só o IE, mas também o Firefox.

A Microsoft tem trabalhado com a Mozilla para retificar esta questão. Para proteger seus usuários, a Mozilla colocou o plug-in do WPF em uma lista de plug-ins bloqueados junto com outros problemáticos. O Firefox verifica automaticamente estes plug-ins banidos, informando o usuário quando encontra um, conforme mostrado abaixo:

image

O usuário pode escolher desabilitar o plug-in, mas pode escolher ignorar a ameaça.

A Microsoft liberou um update de segurança cumulativo para o IE, o KB 974455, que passou a ser distribuído para os usuários através dos updates automáticos há mais de uma semana. Apesar de muitos usuários já terem aplicado o patch, a Mozilla disse que está mantendo o plug-in do WPF na lista de bloqueados até que o número de sistemas sem ele torne-se relativamente pequeno. Esta imagem mostra o plug-in do WPF na lista de bloqueados:

image

Nós devemos mencionar que outro plug-in importante está na lista de bloqueados do Firefox, o Apple QuickTime Plugin v7.1.*. A razão é similar: possibilidade de execução de código remotamente (bug 430826).

Essa abordagem fez com que alguns usuários questionassem a atitude da Mozilla. Por exemplo, Bertrand Le Roy perguntou:

Isso parece muito bom, mas é de se imaginar: a Mozilla vai desabilitar o Flash na próxima vez que eles tiverem um problema de segurança?

Mike Shaver respondeu:

Nós poderemos se a Adobe concordar que esta é a melhor forma de lidar com a vulnerabilidade ou pra providenciar uma proteção temporária até um update ser aplicado.

De acordo com Shaver, esta abordagem foi decidida pela Mozilla enquanto trabalhava junto com a Microsoft no problemas.

Avalie esse artigo

Relevância
Estilo/Redação

Conteúdo educacional

BT