Trình cập nhật của Microsoft ngấm ngầm cài đặt phần mở rộng của Firefox

By Brian Krebs | May 29, 2009; 7:40 AMET

Theo:http://voices.washingtonpost.com/securityfix/2009/05/microsoft_up-date_quietly_insta.html

Bài được đưa lênInternet ngày: 29/05/2009

Một nâng cấp an ninhthường nhật cho một thành phần của Microsoft Windows đượccài đặt lên 10 triệu máy tính đã ngấm ngầm cài đặtmột phần bổ sung add-on thêm nữa cho một số lượngkhông được thông báo những người sử dụng lướt webvới trình duyệt web Firefox của Mozilla.

Đầu năm nay,Microsoft đã xuất xưởng một mớ các nâng cấp đượcbiết tới như một “gói dịch vụ” (service pack) cho mộtnền tảng lập trình được gọi là Microsoft .NETFramework, mà Microsoft và nhiều lập trình viên bên thứ 3sử dụng để chạy một loạt các chương trình tươngtác trên Windows.

Gói dịch vụ này cho.NET Framework, giống như những nâng cấp khác, đã đượcđẩy ra cho những người sử dụng thông qua Website nângcấp Windows. Một số độc giả đã không bao giờ nghethấy về nền tảng này trước khi Windows Up-date đã bắtđầu đưa ra gói dịch vụ này, và nhiều người trong sốcác bạn muốn biết liệu nó có OK đi tiếp và cài đặtthứ này không. Phải chọn trước đó để xem liệu góidịch vụ này có gây ra bất kỳ vấn đề lan truyền rộngrãi nào hoặc can thiệp vào với các chương trình củabên thứ 3 hay không – và việc không tìm thấy bất kỳthứ gì được đảm bảo vẫy gọi các độc giả đikhỏi nâng cấp này – tôi đã nói với các độc giảkhông lo lắng và đi tiếp và cài đặt nó.

Ảnh về các add-onscủa Firefox mà Microsoft ngấm ngầm cài đặt cho các máytính:http://voices.washingtonpost.com/securityfix/assets_c/2009/05/dotnetext-thumb-425x309.jpg

Tôi ở đây để nóivề một hiệu ứng phụ nhỏ từ việc cài đặt gói dịchvụ này mà tôi đã không biết cho tới vài ngày qua: Cóthể, nâng cấp của .NET cài đặt tự động phần bổsung add-on về Firefox của riêng nó mà là khó – nếukhông nói là nguy hiểm – để loại bỏ, một khi đã càiđặt.

Annoyances.org, mà nóliệt kê một loạt các khía cạnh về Windows mà nó là,vâng, quấy rầy, nói “cập nhật này bổ sung vào Firefoxmột trong những thứ có thể bị tổn thương nguy hiểmnhất hiên nay trong tất cả các phiên bản của InternetExplorer: khả năng đối với webiste dễ dàng và ngấm ngầmcài đặt phần mềm lên máy tính cá nhân của bạn”.Tôi không chắc tôi có muốn đưa mọi thứ vào trong nhữngđiều khoản khốc liệt như vậy không, nhưng tôi khá tinrằng một số lượng khá những người sử dụng Firefoxtrên Windows là chống Internet Explorer điên cuồng, và cảmtưởng bị mếch lòng khi lưu ý về những thứ như thếnày về trình duyệt của Redmond.

Aroutine security up-date for a MicrosoftWindows componentinstalled on tens of millions of computers has quietly installed anextra add-on for an untold number of users surfing the Web withMozilla's FirefoxWeb browser.

Earlierthis year, Microsoft shipped a bundle of up-dates known as a "servicepack" for a programming platform called the Microsoft.NET Framework,which Microsoft and plenty of third-party developers use to run avariety of interactive programs on Windows.

Theservice pack for the .NET Framework, like other up-dates, was pushedout to users through the Windows Up-date Web site. A number of readershad never heard of this platform before Windows Up-date startedoffering the service pack for it, and many of you wanted to knowwhether it was okay to go ahead and install this thing. Havingearlier checked to see whether the service pack had caused anywidespread problems or interfered with third-party programs -- andnot finding any that warranted waving readers away f-rom this up-date-- I told readers not to worry and to go ahead and install it.

I'mhere to report a small side effect f-rom installing this service packthat I was not aware of until just a few days ago: Apparently, the.NET up-date automatically installs its own Firefox add-on that isdifficult -- if not dangerous -- to remove, once installed.

Annoyances.org,which lists various aspects of Windows that are, well, annoying, says"this up-date adds to Firefox one of the most dangerousvulnerabilities present in all versions of Internet Explorer: theability for Web sites to easily and quietly install software on yourPC." I'm not sure I'd put things in quite such dire terms, butI'm fairly confident that a decent number of Firefox for Windowsusers are rabidly anti-Internet Explorer, and would take umbrage atthe very notion of Redmond monkeying with the browser in any way.

Vụ lớn đấy chứ?Tôi chỉ có thể bỏ cài đặt phần bổ sung add-on nàythông qua giao diện Add-ons của Firefox bằng tay, đúngkhông? Không thật nhanh. Vấn đề là, Microsoft đã vô hiệunúm “bỏ cài đặt” trên phần mở rộng này. Hơn nữa,Microsoft nói với chúng tôi rằng cách duy nhất để loạibỏ thứ này là sửa đổi phần đăng ký của Windows, mộtcông việc mà – nếu làm không chính xác – có thể gâycho các hệ thống Windows hỏng khi khởi động.

Khi tôi lần đầutiên học được điều này, 3 ý nghĩ ngay lập tức loélên trong đầu tôi:

1. Làm thế nào tôi quên điều này được %#@!

2. Cách đúng đắn có thể chỉ là đưa ra trình bổ sung add-on trên trang Add-Ons của Mozilla.

3. Dạng công việc này làm bạn nghi ngờ những gì mà Microsoft đang cài đặt mà bạn không biết.

Rồi tôi đã thấyrằng tôi không phải là người duy nhất mà có những ýnghĩ này. Microsoft đã nghe những chỉ trích này từ nhữngngười khác mà họ đã bình luận từ lâu về sự pháttriển đáng tiếc này (xem các bình luận theo đường linkbên dưới).

Tuy nhiên, tôi chắcchắn đây không phải là sự chấm hết của thế giớinày, nhưng nó có thể làm điên tiết nhiều độc giả.Trước hết – đối với các độc giả của tôi – tôixin lỗi vì đã soi kỹ “tính năng” này của nâng cấpan ninh của .NET Framework. Thứ 2 – đối với Microsoft –đây là motoj ví dụ tuyệt vời về làm thế nào khôngthuyết phục nổi mọi người tin vào các bản cập nhậtan ninh của bạn.

Bigdeal, you say? I can just uninstall the add-on via Firefox's handyAdd-ons interface, right? Not so fast. The trouble is, Microsoft hasdisabled the "uninstall" button on the extension. What'smore, Microsoft tells us that the only way to get rid of this thingis to modifythe Windows registry, an exercise that -- if done imprecisely --can cause Windows systems to fail to boot up.

WhenI first learned of this, three thoughts immediately flashed throughmy mind:

1)How the %#@! did I miss this?

2)The right way would have been to just publish the add-on at Mozilla'sAdd Ons page.

3)This kind of makes you wonder what else MS is installing without yourknowledge.

ThenI found that I wasn't the only one who had these ideas. Microsoft hasheard these criticisms f-rom others who long ago commented on thisunfortunate development (see the comments underneath thispost).

Anyway,I'm sure it's not the end of the world, but it's probably infuriatingto many readers nonetheless. Firstly -- to my readers -- I apologizefor overlooking this..."feature" of the .NET Frameworksecurity up-date. Secondly -- to Microsoft -- this is a great exampleof how not to convince people to trust your security up-dates.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com