プラグイン関連の情報
ここ数日、プラグインに関していくつか大きな動きがあったので紹介したいと思う。
Plugins Check ページ登場
Firefox 3.5.3/3.0.14 リリース時に紹介したプラグインのバージョンチェックが、さらに強化されて登場した。
先のリリースの時点では Adobe Flash Player のみが対象だったが、新しいページではインストールされているプラグインすべてに対してバージョンチェックが実施される。
現在は英語のみであるが、日本語版も登場するであろう。
Plugins Check: http://www.mozilla.com/plugincheck/
Microsoft の Mozilla 向けアドオンがブロックリスト入り
Firefox を起動したとたん「問題を生じる可能性のあるアドオン」というウインドウが表示され驚いた人も多いのではないだろうか? Mozilla Security Blog によると、Microsoft の Mozilla 向けアドオンである Microsoft .NET Framework Assistant (拡張機能) と Windows Presentation Foundation (プラグイン) が、セキュリティ上の理由からブロックリストに追加された。
これらのアドオンは .NET Framework 3.5 SP1 をインストールする際にユーザの同意なく自動的にインストールされるものである。ClickOnce と呼ばれる .NET アプリケーションを自動的にダウンロード、実行するための技術であり、ActiveX と同じような側面を持っているといえる。これらはアドオンマネージャから無効化・削除することができないことから批判を浴びていた。それを受けて Microsoft はこれらを無効化・削除できるようにするアップデートをリリースしていた。
今回これらがブロックリスト入りすることになったのは、Microsoft の 10 月の月例アップデートで「ClinkOnce において悪意のある XAML Browser Application が実行されてしまう恐れがある」脆弱性が修正されたことに起因する。Microsoft は Mozilla ユーザに対してはこれらのアドオンを無効化するよう指示するのみで、それ以上の行動をとらなかったのである。そのためこの問題が Bugzilla に報告され (Bug 522777)、Microsoft の承諾を得た上でブロックリストに追加された。これにより、これらのアドオンは強制的に無効化され、今後インストールされることもない。
しかし、.NET Framework Assistant に関しては Mozilla ソフトウェアへの影響がないということが確認されたため、現在はブロックリストから除外されている。Windows Presentation Foundation は引き続きブロックリストによって無効化される。
詳細は Computerworld の記事を参照してほしい。
ブロックリストの効果が大々的に確認された初のケースと言えるが、その対象が Microsoft がユーザに無断でインストールしたものであるというのが残念である。