Firefox отключился от «опасного» WPF

Firefox*

В субботу утром многие пользователи Firefox увидели сообщение об отключении плагина Windows Presentation Foundation, как сказано, «представляющего угрозу безопасности».

Разработчики из Mozilla вскоре пояснили, что в самом деле произошло массовое отключение плагина .NET Framework Assistant и родственного Windows Presentation Foundation через механизм централизованной блокировки. Это связано с выявленной в июне серьёзной уязвимостью. Сама компания Microsoft рекомендует своим юзерам отключать .NET Framework Assistant, если они не установили патч для IE.

Компания Microsoft была предварительно уведомлена о действиях Mozilla и дала добро, так что механизм блокировки был запущен в субботу примерно в 5:00 утра по МСК.

Вскоре на связь опять вышли представители Microsoft. Они проинформировали, что плагин .NET Framework Assistant на самом деле не представляет угрозы безопасности и не может быть использован для запуска эксплойтов вышеупомянутой уязвимости. Сразу после этого .NET Framework Assistant был снят с блокировки. Таким образом, его карантин продлился всего около 48 часов. Но второй плагин Windows Presentation Foundation до сих пор остаётся в «чёрном списке».

Если вам показалось, что вы не устанавливали такой плагин в свой браузер, то имейте в виду, что .NET Framework Assistant проник в Firefox относительно скрытно во время февральского обновления Windows (это уже обсуждалось на Хабре). Инструкцию по удалению Microsoft .NET Framework 3.5 Service Pack 1 из системы см. здесь (нужно вручную редактировать реестр, иначе сервис-пак не удаляется).

+38

19 октября 2009, 14:43

alizar 2239,8 G+

комментарии (56)

+11

spiderius 19 октября 2009, 15:23 #

а я наивный думал что у меня только глюкануло

diablero 19 октября 2009, 15:46 #

«Это связано с выявленной в июне серьёзной уязвимостью.»
А сейчас «19 октября 2009, 14:43»
Группа быстрого реагирования, блин =)

+12

rachiu 19 октября 2009, 15:50 # ↑

Два дня потратили на анализ проблемы и ещё пару месяцев на то, чтобы не обидеть майкрософт.

Dronix 19 октября 2009, 16:38 #

У меня вчера оба плагина отключились (WPF и Framework), я уж было подумал вирусов хватанул, сидел всю систему сканил. А тут вон оно что.

Archon 19 октября 2009, 16:42 #

Инструкцию по удалению Microsoft .NET Framework 3.5 Service Pack 1 из системы см. здесь

Можно поинтересоваться — зачем удалять полезный сервис-пак из системы? Из-за одного-единственного плагина, который не представляет угрозы безопасности?

+10

Meroving 19 октября 2009, 16:54 # ↑

да чего там, лучше сразу весь .NET грохнуть, кому он сдался-то. :)

НЛО прилетело и опубликовало эту надпись здесь

mlurker 19 октября 2009, 17:52 # ↑

А чем вам .net не угодил?

SergeyVoyteshonok 19 октября 2009, 18:31 # ↑

быдлопрогерство от платформы не зависит

–1

jj_killer 19 октября 2009, 20:00 # ↑

Порог вхождения значительно ниже, быдлопроггеров на асме и форте, значительно меньше чем на.нет и пхп.

zw0rk 19 октября 2009, 21:08 # ↑

Небыдлопрогеров на.нет и пхп тоже больше чем небыдлопрогеров на асме и форте %)

Ярлыки такие ярлыки.

jj_killer 19 октября 2009, 22:29 # ↑

В количественном абсолютном эквиваленте, а не в процентном)

zw0rk 19 октября 2009, 22:32 # ↑

Это уже частности :)

Ведь для пропаганды элитарных языков и защиты неэлитарных не обязательно уточнять способы и единицы измерения :)

jj_killer 19 октября 2009, 22:34 # ↑

Согласен, достаточно помнить что.нет и пхп программисты не ведают о другом алгоритме обходов деревьев, нежели рекурсивном, что в конечном счете означает 3 сервера вместо одного :)

SergeyVoyteshonok 19 октября 2009, 22:48 # ↑

угу и 3 месяца разработки вместо года

jj_killer 19 октября 2009, 23:28 # ↑

Что это вы на.нет три месяца то програмите, небось ос?)))

zw0rk 19 октября 2009, 23:16 # ↑

С другой стороны, в русских интернетах чуть более чем половина форт-программистов это сферические специалисты в вакууме :)

jj_killer 19 октября 2009, 23:34 # ↑

Вообще-то они не только в русских интернетах, а и везде в вакууме. Но это такое; понятное дело, форт — язык для научных исследований, хотя к нему столько либ написали на асме в советское время, что разгребать и разгребать.

–2

zw0rk 19 октября 2009, 23:45 # ↑

Имелись в виду конечно же форт/лисп/хаскелл/etc-фанбои.

Именно фанбои, а не просто активно интересующиеся, прошу заметить. Которые бегают по интернетам и вопят о монадах, которые неиллюзорно сокращают сроки разработки; лямбдах, делающих волосы мягкими и шелковистыми и прочих, не виданных ими никогда на самом деле, мегапрофитах, о которых они прочитали в умных журналах и блогах :) Вот ЛОР полон такими чуть мене чем наполовину, например.

–1

VlK 20 октября 2009, 20:11 # ↑

Зависть — плохое чувство :)

zw0rk 20 октября 2009, 22:18 # ↑

Причем здесь зависть. Вы не поняли коммент.

maserg 20 октября 2009, 04:45 # ↑

а сколько нерекурсивных алгоритмов обхода деревьев знаете вы?

jj_killer 20 октября 2009, 05:02 # ↑

maserg 20 октября 2009, 06:45 # ↑

я реальне шоке.

а можно подробней?

–1

jj_killer 20 октября 2009, 06:56 # ↑

Какой вопрос, такой ответ. Нерекурсивные алгоритмы достаточно сложны, я уже прям был в предвкушении когда кто-то из пхп'шников попросит показать)))

Но нет, не все в жизни просто, как в пхп.
Могу лишь отправить вас к спецлитературе, ибо чаще всего демонстрация таких алгоритмов проходит не на реальных языках программирования, а на ученических (алгоритмических) языках. По этому книги нужно читать, а не в комментах «подробничать».

maserg 20 октября 2009, 07:18 # ↑

ну да, ткнул в небо пальцем… спасибо, эту спецлитературу мы прочитали курсе на 2 в далеком 199х году.

не надо здесь «подробничать», напишите название нерекурсивных алгоритмов обхода дерева, известные вам и/или реально применяемые вами на практике.

ps. не всё так просто в пхп

–2

jj_killer 20 октября 2009, 07:32 # ↑

Плохо читали)

Все классика: красно-черные, аа, авл, трип, расширяющееся; скейпгот (не использовал).

Да-да, пхп лапочка, я знаю это с 2002 :) А Перл, он душечка)

akzhan 20 октября 2009, 12:14 # ↑

И какое отношение это имеет к метоам обхода деревьев? Косвенное.

Хотя на самом деле любое дерево можно преобразовать для удобного и быстрого обхода.

Напомню про heap, к примеру.

snch 20 октября 2009, 19:59 # ↑

вы по ссылке-то сходите («Remove the Microsoft .NET Framework Assistant (ClickOnce) Firefox Extension»)

–4

Pavel 19 октября 2009, 16:44 #

Вот бы еще в XP не совсем кошерной можно было отказаться от всей этой дотнетовской ереси с сохранением работоспособности…

mlurker 19 октября 2009, 17:52 # ↑

А чем вам .net не угодил?

–2

Pavel 19 октября 2009, 17:56 # ↑

с каждым обновлением дотнета у меня умирает офис.
разбираться почему нет ни времени ни желания.

–10

arty 19 октября 2009, 16:54 #

прослеживается любопытная аналогия: mozilla централизованно отключает плагин на компьютерах, а amazon централизованно удаляет книжку с читалок; в первом случае все радуются, во втором все негодуют

PsySonic 19 октября 2009, 20:01 # ↑

Ну книжку удалили не из-за безопасности а из-за того что несмотря на умершего автора кто-то лучше знает как распоряжается его интеллектуальной собственностью. Во вторых: это не просто книжка а 1984, главный герой которой вымарывал информацию из старых номеров газет. Прослеживалась параллель.

–3

arty 19 октября 2009, 22:35 # ↑

тем не менее, в обоих случаях посторонние люди решают, чему быть на вашем компьютере

ximaera 20 октября 2009, 19:14 # ↑

Если уж на то пошло, то есть и третий случай, когда посторонние люди решили, чему быть на вашем компьютере. Эти посторонние Microsoft'овские люди установили мне Microsoft WPF Firefox Plugin без моего ведома и разрешения.

arty 20 октября 2009, 19:16 # ↑

согласен, есть третий, и наверняка ещё куча других
но для подчёркивания контраста достаточно двух : )

ximaera 20 октября 2009, 19:18 # ↑

Одно дело, когда полиция не пускает вас в горящее здание, нарушая тем самым вашу свободу передвижения и права человека. И совсем другое дело — когда она вас туда затаскивает.

:)

–1

arty 20 октября 2009, 19:22 # ↑

[irony]конечно, ведь полиции всегда лучше знать[/irony]

–2

XaocCPS 19 октября 2009, 16:54 #

«We’re hard at work on improving the experience for (especially enterprise) users who wish to override the blocking of the WPF plugin before we remove it from the blocklist» © shaver.off.net/diary/2009/10/18/update-net-framework-assistant-clickonce-support-unblocked/

Mozilla подложила сама себе гигантскую свинью и после этого стала лихорадочно искать решения и отписываться по блогам.
а все потому, что корпоративные пользователи вдруг не смогли использовать свои WPF-приложения в Firefox из-за «случайной» как теперь выясняется, ошибочной блокировки плагина.

sergeant 20 октября 2009, 01:22 # ↑

Если мне не изменяет память, фаерфокс меня спросил, хочу ли я удалить эти плагины или нет.

allan_sundry 20 октября 2009, 14:10 # ↑

Mozilla поступила абсолютно правильно — отключила дырявый принудительно установленный плагин.

Vladek 19 октября 2009, 17:13 #

Он включится сам, когда надо? Кстати, WPF 4 Beta 1 тоже заблокировали.

dmach 19 октября 2009, 17:14 # ↑

То что включили вроде как не включилось. По крайней мере у меня.

–1

akamuza 19 октября 2009, 17:20 #

Вот за что люблю Хабр — так это за то, что можно всегда найти ответ даже на самый «свежий» вопрос.
Включит ФФ — а там это предупреждение об отключении.
И сразу же на первой вкладке, на которой Хабр, вижу топик по этому поводу.

Радует.

YuriPikin 19 октября 2009, 18:03 #

Впервые узнал, что лиса может сама что-то отключить…

lorndesign 19 октября 2009, 18:20 # ↑

Центральный Моззилиум… тихонечко управляет всеми фоксами в мире… только, тссс…

zw0rk 19 октября 2009, 21:09 # ↑

MOG :)

ipswitch 19 октября 2009, 18:21 # ↑

и нам ничто отключить эту штуку не мешает.
about:config
параметр extensions.blocklist.enabled =)

–4

PoZitron 19 октября 2009, 18:24 #

> .NET Framework Assistant проник в Firefox относительно скрытно во время февральского обновления Windows
/me ищет на своём компе Windows с февральским обновлением…

mt2 19 октября 2009, 20:23 #

Framework Assistant я его удалил случайно уже после отключения, теперь назад не ставится — говорит что этот аддон представляет собой угрозу безопасности.

x25 19 октября 2009, 21:30 #

Ничего не понимаю — в воскресенье WU с самого спозаранку предложил обновить Assistant (KB963707), я согласился и всё стало пучком; сегодня днём на одном домашнем ноуте WPF отвалился снова, напугав жену :) На втором — пока не отвалился.

fatal 19 октября 2009, 22:30 #

Давно хотел отключить это говно, а просто отключиться или деинсталлироваться оно не давалось (кнопки были заблокированы). Спасибо, Мозилла!

–2

rengo 20 октября 2009, 01:15 #

Ндя, тенденции нездоровые прослеживаются…

–1

Lucifier 22 октября 2009, 15:17 #

Кто-нибудь знает настройку, которая отключает такую централизованную заботу о моей безопасности?
А то мало ли, завтра лисоводам придумается, что плагин SpeedDial представляет опасность для моего душевного здоровья.

stampoon 11 ноября 2009, 14:27 # ↑

Код открыт. Тебе надо — переписывай. Оно же не скрытно это делает.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.