Mozilla bloque et déloque le plugin .NET Framework

Sur son blog officiel Mike Shaver, vice-président du département Ingénierie chez Mozilla, expliquait ce weekend que le plugin .NET Framework Assistant, mis à disposition par Microsoft, a été désactivé pour des raisons de sécurité. Cette extension fut initialement introduite par Microsoft au mois de février. Plus précisément, cette dernière était automatiquement installée suite une mise à jour vers .NET Framework 3.5 SP1 via Windows Updates. Plusieurs utilisateurs rapportèrent alors que la désinstallation n'était pas possible via le gestionnaire de plugins avant que Microsoft ne mette à disposition un patch.

Dans le courant de la nuit, l'équipe de Mozilla a mis à jour son blog de sécurité puis explique : « Microsoft vient de confirmer que l'extension Framework Assistant n'est pas un vecteur d'attaque et nous l'avons retiré de la liste de blocage.  »

Parallèlement, la semaine dernière, Microsoft a fait savoir que les utilisateurs de Firefox n'ayant pas installé un correctif pour Internet Explorer (IE 8 inclut) étaient exposés à de potentielles vulnérabilités et plus précisément l'injection d'une attaque via le processus PresentationHost.exe au sein de Windows Presentation Foundation. Un plugin dédié pour Firefox était également installé après une mise à jour sur .NET Framework 3.5 SP1.

Mozilla précise : « Nous travaillons également sur un mécanisme permettant aux utilisateurs de Firefox de réactiver le plugin WPF en prévision de son déblocage ».