Geçtiğimiz günlerde yayınlanan güvenlik bültenlerinden birisi sadece Internet Explorer'ı değil, Firefox'u da etkiliyordu.
Microsoft'un sessiz sedasız yüklediği Firefox eklentisinin ciddi bir güvenlik açığına sebep olduğu ortaya çıktı. Bu eklenti Windows Update ile kurulmuştu.
Bu eklenti, .NET Framework 3.5 Service Pack 1'in kurduğu Windows Presentation Foundation. Microsoft'un güvenlik araştırmacıları bu tehlikenin çok büyük olduğunu ve kullanıcıların zararlı bir siteyi ziyaret etmesinin yeterli olduğunu belirtiyorlar.
Kullanıcılar ve uzmanlar, Microsoft'un kimseye sormadan Firefox'a eklenti kurmasını eleştirmişti. Bu olayla birlikte ne kadar haklı oldukları ortaya çıkmıştı. İşin kötüsü bir kez kurulan bu. NET eklentisinin, Firefox'tan çıkartılamaması oluyor. Bu eklenti kurulduktan sonra çıkartmak ya da iptal etmek isteyen kullanıcılar, bu seçeneklerin gri renkte olduğunu ve tıklanamadığını görüyorlar.
Bu eklentiyi daha önce iptal etmek isteyen kullanıcılar, Windows kayıt defterine girerek meşakkatli bir temizlik yapmak zorunda kalıyordu. Annoyances.com sitesinde yer alan rehber bu işlemin nasıl yapılacağını anlatıyordu.
Bir sonraki güncellemeyle değişenler
Sitenin kullanıcılara uyarısı da çok önemli: "Bu güncelleme Firefox'a gelmiş geçmiş en tehlikeli açıklardan birini ekliyor. Internet Explorer'ın bütün sürümlerinde olan bu açık yüzünden internet siteleri, kullanıcıların PC'lerine kolayca ve sessizce yazılım kurabiliyor. Bu bir tasarım hatası ve kullanıcılara kayıt defterinden temizlemelerini tavsiye ediyoruz."
Bu eklentinin esas amacı Microsoft'un ClickOnce isimli teknolojisiyle .NET uygulamalarını otomatik olarak indirip diğer internet tarayıcılarda kullanabilmesi. Microsoft'un eleştirilere ilk cevabı Mayıs başındaki bir güncelleme oldu. Bu güncelleme .NET Framework Assistant'ın kaldırılabilmesini ya da iptal edilebilmesini mümkün kılıyordu. Ancak Microsoft özür dilemedi.
Microsoft bu güvenlik açığını geçtiğimiz günlerde duyurarak, Firefox kullanıcılarının MS09-054 güncellemesini kuramıyorlarsa bu eklentiyi kaldırmaları gerektiğini belirtti. Microsoft'a göre bu açık kritik ve Internet Explorer 8 de dahil olmak üzere bütün IE sürümlerini etkiliyor.
Mozilla duruma el koydu
Ancak Mozilla, Microsoft'un bu duyurusuyla tatmin olmadı ve bu eklentiyi engelleme kararı aldı. Kullanıcıları korumak isteyen Mozilla, şu anda Microsoft .NET Framework Assistant ve Windows Presentation Foundation'ı engelliyor.
Mozilla mühendislik başkan yardımcısı Mike Shaver "Kullanıcıların daha önce bu eklentiyi kaldırmakta yaşadığı sıkıntılar ve riskin büyüklüğü sebebiyle Microsoft ile irtibata geçtik. Bu eklentiyi Blocklisting mekanizmamız ile engellemek istediğimizi belirttik. Microsoft da bu planı onayladı ve biz de bu eklentileri engelledik" dedi.
Kusurlu eklentiler gittikçe artan bir sorun teşkil ediyor. Bu tür güvenlik açıklarından faydalanan suçlular daha önce de Adobe Flash Player ve Quicktime'ın açıklarını kullanarak saldırı düzenlemişlerdi. Bu yüzden Mozilla eklentileri kontrol eden bir site oluşturdu. Kullanıcılar bu site aracılığıyla eklentilerinin güvenli ve güncel olup olmadığını kontrol edebiliyorlar.