幾個月前,我寫了一篇《從Firefox移除Microsoft .NET Framework Assistant擴充套件》,而且那篇文章一直是這個乏人問津的部落格中點閱率較高的幾篇之一;那時就覺得這個擴充套件可能不太安全。結果今天看到Computer World上的《Sneaky Microsoft plug-in puts Firefox users at risk》這篇文章,其中說明這個被微軟強迫安裝的擴充套件的確有漏洞,如果安裝了這個擴充套件且沒有安裝微軟這個月發佈的MS09-054修正程式的話,網站上的惡意程式碼可以利用微軟的漏洞在使用Firefox的使用者的電腦上安裝惡意軟體。而且感覺更差的是,在這篇文章的倒數第二段,微軟建議如果使用者無法安裝上述的修正程式,則應該手動移除上述的擴充套件——對於不知道有這個問題的使用者來說(甚至可能沒注意到Firefox被微軟偷裝了擴充套件),又怎麼會知道需要移除這個程式呢,這根本就只是推卸責任罷了。
而且之前Firefox的Adblock Plus擴充套件的作者指出,微軟在這個Microsoft .NET Framework Assistant擴充套件中內建的移除程式並不能真正完整移除這個擴充套件,而會殘留一個隱藏的擴充套件,殘留的擴充套件與Adblock Plus或其他套件並存可能造成Firefox當掉(雖然Adblock Plus後來改版已經避開了微軟的這個bug)。所以要完整移除微軟的擴充套件除了移除Firefox內的擴充套件之外,還是要使用前一篇的文章中的手動移除方法才能移得乾淨。
但是移除乾淨之後如果再度使用Windows Update的話,Windows Update會出現底下的安裝選項,如果是使用自動更新的電腦就會重新把這個Microsoft .NET Framework Assistant擴充套件裝回去:
所以我幾個月前就取消安裝這個更新,並且勾選底下的「不要再顯示此更新」,似乎就可以解決了,只是以後使用Windows Update都會顯示「你有隱藏的更新」警告,實在蠻礙眼的。微軟到底要不要把他捅出的爛攤子收一收啊?不然要強迫Windows使用者安裝一個漏洞在Firefox裡,微軟根本就沒有立場可以批評Google開發了Google Chrome Frame會造成IE不安全啊?至少人家Google沒有強迫使用者非裝不可,也沒偷偷把它放在更新程式裡面趁使用者不注意的時候安裝,比微軟光明正大多了。
2009-10-19追加:今天看到Mozilla其實有在bugzilla追蹤這個問題,才發現我弄錯對象了,出問題的是微軟的Windows Presentation Foundation Plug-in,而不是Microsoft .NET Framework Assistant;不過兩者其實都是從Windows Update安裝.Net 3.5更新的時候偷偷裝上的,依照之前的移除方法也會一起移除這個外掛程式。另外,Mozilla為了保護尚未更新的Firefox使用者,在微軟的同意下已經把這個外掛程式放入禁用清單,所以就算有安裝Windows Presentation Foundation Plug-in的使用者也應該會被禁用。
沒有留言:
張貼留言