http://www.ithome.com.tw/itadm/article.php?c=57635 Firefox攔阻微軟外掛事件有變：Mozilla說分明 文/郭和杰 (記者) 2009-10-20 現在Mozilla已經把.NET Framework Assistant外掛從攔阻名單中撤除，而WPF外掛則改為 「軟性攔阻」（soft block），也就是說使用者可設定成「啟動」。 由於受到IE漏洞波及而決定在Firefox上攔阻微軟外掛的Mozilla，在接到企業抱怨，以及 與微軟討論之後，周日（10/18）將其中一個外掛程式排除在攔阻名單之外，並在周一（ 10/19）把另一個改成「軟性攔阻」。 日前微軟釋出安全更新，其中MS09-54所修補的漏洞可能透過外掛程式而波及Firefox瀏覽 器，因此Mozilla決定攔阻Microsoft .NET Framework Assistant 1.0以及Windows Presentation Foundation（WPF）兩個外掛程式。而現在，Mozilla已經把.NET Framework Assistant外掛從攔阻名單中撤除，而WPF外掛則改為「軟性攔阻」（soft block），也就是說使用者可設定成「啟動」。 Mozilla工程副總裁Mike Shave在部落格上表示，收到來自微軟的確認，表示Framework Assistant外掛程式並不屬該漏洞攻擊的機制後，我們已從攔阻名單中將它移除。我們在 攔阻名單中將它移除之前，很努力要改善使用者經驗，特別是那些希望我們撤銷攔阻WPF 外掛的企業使用者。 這個決策轉變顯然引起外界的猜測，對此Mike Shave另闢一部落格以時間還原的方式做詳 細的說明。他表示，整起事件必需回溯到2009年七月，Mark Dowd、Ryan Smith，以及 David Dewey在黑帽大會上公佈了IE的一個漏洞，以及其他受波及的軟體，如Firefox外掛 ，Google的Native Client，但未包括了Firefox本身，以及WPF外掛程式。 上周一（10/12）微軟的安全研究暨開發團隊在官網上貼了一篇部落格表示，黑帽大會上 公布的這個IE漏洞，可能讓駭客利用WPF外掛裡的一個IE元件攻擊Firefox使用者。這個外 掛是作為Windows .NET Framework 3.5的一部份在散布。 他指出，上周二（10/13）微軟釋出了MS09-054安全更新，修補這個IE漏洞。接著周五（ 10/16）Mozilla連絡微軟，以了解整個情況。當時與微軟討論了漏洞的特性，以及解除安 裝這個外掛或擴充程式的困難，因此雙方同意，在找到保護使用者的最佳方法之前，先行 攔阻這個外掛程式。微軟的部落格更新指出，安裝MS09-054修補程式的Firefox使用者將 可受到保護，不會受此漏洞影響。 上周六（10/17），在使用者的反應下（主要是企業使用者）， Mozilla開始為Firefox 3.5使用者著手「可撤銷」的攔阻（就是軟性攔阻）功能。在與微軟討論下認為，這個擴 充程式可能受漏洞影響，因此決定繼續攔阻。 周日微軟通知Mozilla，.NET Framework Assistant外掛程式並不在漏洞攻擊機制內，因 此將它從攔阻名單移除。若未安裝MS09-054修補程式，WPF外掛可能會遭漏洞攻擊，因此 還是保留在攔阻名單內。周一Mozilla將WPF改成「軟性攔截」，就是使用者可以在確定修 補IE漏洞之後重啟外掛。 Shave表示，微軟正在監控漏洞的修補比例，在達到高部署率之後將會移除其餘的攔阻名 單，預計需要再兩天的時間。 協助Mozilla解決該問題的微軟的程式管理總監Stephanie Boesch表示，安全是所有微軟 客戶的第一要務，因此我們一起決定，該採取的最佳行動是在Firefox使用者修補這個IE 漏洞之前攔阻這個外掛程式。她並感謝Mozilla的合作解決該問題。（編譯/郭和杰） -- 這就是前面文章 ( #1AsQeb17 ) 提到的問題 接下來就要看Mozilla和微軟怎麼處理這一個漏洞了 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 220.128.189.59