El complemento del año

Microsoft informó que una actualización automática desplegada en febrero del presente año, que actualizaba el framework .NET a la versión 3.5 SP1, incluye de regalo una vulnerabilidad gravísima, que permite a un sitio malicioso instalar y ejecutar software de la peor calaña en la máquina del visitante sin pedir permiso ni decir ‘agua va’.

El componente, destinado a garantizar la compatibilidad Windows Presentation Foundation, instalaba la tecnología ClickOnce no sólo en Internet Explorer, sino también en Firefox si acaso lo encontraba en el PC. Por si fuera poco, cuando esto ocurría en Windows XP o Vista se hacía imposible desinstalar la extensión o complemento desde Firefox: sólo en Windows 7 se podía quitar por las buenas mientras que en los otros dos había que meterse a modificar el registro.

Meses después, en mayo, Microsoft modificó esta actualización para que al menos pudiese desinstalarse por las buenas desde el menú de complementos de Firefox, lo cual según yo es como un 0.1% menos prepotente que la situación anterior. Lo importante es que esta semana Microsoft advirtió que es necesario ya sea aplicar el update MS09-054 o bien quitar la actualización .NET 3.5 SP1.

Lo irónico del caso es que Microsoft criticó la aparición de Chrome Frame diciendo que cuando un usuario lo instala voluntariamente, permite a un tercero ejecutar su motor de renderizado dentro de explorer, lo cual consideraron inaceptablemente inseguro. Ahora resulta que el complemento que ellos hicieron, que se instala sin preguntar, en un browser ajeno, permite que cualquier hacker instale y ejecute programas en tu PC. Eso sí que es predicar con el ejemplo.

Link: Sneaky Microsoft plug-in puts Firefox users at risk (ComputerWorld)