Windows Update installiert heimlich Add-on in Firefox

HeikeFy

HeikeFy

assimiliert
Wer dachte, dass er bei der Verwendung des Firefox die Kontrolle über die gewünschten Add-on's hat, hat sich wohl geirrt.

Microsoft hat mit dem "Windows Update" ein Service Pack für das .NET Framework 3.5 installiert, das ohne nachzufragen auch einen "Microsoft .NET Framework Assistent 1.0" als Add-on in Firefox einbaut.
Dieser ist dem unbedarften Nutzer nicht nur klammheimlich untergejubelt worden, er lässt sich nicht mal wie gewohnt einfach so deinstallieren. Lediglich deaktivieren kann man dieses Kuckucksei fürs erste.


Wer dieses Add-on denoch loswerden will, muss sich manuell das "Update für das "NET Framework 3.5 SP1" bei Microsoft holen. Nach einem Neustart des Computers ist dann auch die Deinstallation möglich.

Quelle: PC-WELT
 
Zuletzt bearbeitet von einem Moderator:
Vielleicht wäre noch der Zusatz interessant:
Die gute Nachricht ist, dass Microsoft kürzlich ein weiteres Update für das .NET Framework 3.5 SP1 ausgeliefert hat. Dieses installiert die Version 1.1 des Framework Assistenten, die sich auch vom Benutzer entfernen lässt. Mehr noch - er kann die Installation schon vorab verhindern. Auch Google Chrome erhält die Erweiterung für .NET.
Zum Vergrößern anklicken....
Quelle wie oben

Das ändert natürlich nichts an der Brisanz des Themas. Davon ganz ab gibt natürlich der Umstand zu denken, dass ausgerechnet MS nun Addons für den Firefox verteilt. In alle Richtungen.
 

Anhänge

  • b1.JPG
    b1.JPG
    24,9 KB · Aufrufe: 253
eine der gefährlichsten Sichheitslücken
Zum Vergrößern anklicken....
Hmm.

Bei der Erweiterung handelt es sich um den "Microsoft .NET Framework Assistent", der mit der ClickOnce-Technik die Installation von Software durch Webseiten mit dem Anklicken eines einzigen Links ermöglicht. Ein direktes Sicherheitsrisiko stellt ClickOnce jedoch nicht dar.
Zum Vergrößern anklicken....
heise online - 30.05.09 - Microsoft installiert Firefox-Add-On ohne Rückfrage [Update]

Auch wenn von ClickOnce kein großes Risiko ausgeht, so stellen sich wohl derzeit immer mehr Windows-Nutzer die Frage in wieweit sie dem Unternehmen noch vertrauen können,
Zum Vergrößern anklicken....
http://www.virenschutz.info/beitrag...en-unbemerkt-von-Microsoft-verteilt-2866.html

Die .NET-Programme werden allerdings in einer Sandbox ausgeführt, sollten also keine Gefahr für den Rechner darstellen. Eine vergleichbare Praktik findet sich auch bei Java, das den "Java Quick Starter" in Firefox installiert.
Zum Vergrößern anklicken....
Stilles Update: Windows Update installiert heimlich Add-on in Firefox - PC-WELT

Was denn nu? :D
Ich denke mal, die Einschätzung der Gefährlichkeit ist umgekehrt proportional zur Bedeutung der Quelle.
Aber was soll's. Man kann dieses Kuckucksei ja inzwischen deinstallieren.
 
Die .NET-Programme werden allerdings in einer Sandbox ausgeführt, sollten also keine Gefahr für den Rechner darstellen.
Zum Vergrößern anklicken....
BB - Blühender Blödsinn...

MS hat hier heimlich versucht, Firefox zu "assimilieren". Es ist zwar löblich,
dass die auch andere Browser unterstützen, aber auf diesem Wege ist das
ne einzige Frechheit.

Da ich Framework hier nicht nutze und auch nicht installiert habe, weil
ich es für Schwachfug halte und nur die Faulheit bestimmter Programmierer
schürt, bietet MS mir natürlich ne Steilvorlage, den Mist weiterhin niederzumachen.
(y)
 
Wenn man die Firefox-Nutzer jetzt noch zusätzlich kitzeln möchte, dann fragt man ganz unschuldig, was das denn für ein unsicheres Stück Software ist, welches sich ein AddOn ohne Nachfrage einfach so unterschieben lässt.

Und die Frage meine ich durchaus ernst.
 
>> welches sich ein AddOn ohne Nachfrage einfach so unterschieben lässt.

Die Problematik an der Sache ist, dass man dazu nicht mal Firefox bemühen muss,
einfach per Registry auf das XPI verlinken und beim nächsten Start hat der das.
Lässt sich aus Firefox heraus dann auch nicht deinstallieren, nur deaktivieren.

Bekannt ist die Erweiterung schon länger:
http://www.camp-firefox.de/forum/viewtopic.php?f=3&t=64841

Man müsste dann entsprechend Rechte vergeben bzw sperren dort.
 
Mhh, da werde ich wohl heute abend mal Ubuntu auf die 2. HDD installieren.

Ich frage mich ob das von MS beabsichtigt war. :D
 
Das lässt sich vermuten.

Achte auch mal auf das Ubuntu, nicht dass da plötzlich KB123... installiert wird, wenn du mit der Windows-Platte bootest. ;)
 
Das sie von Firefox nicht weiter ungefragt auf das System geladen wird, das lässt sich durch einen Mausklick verhindern. Im geöffneten Firefox Browser Browser im Techniklexikon unter "Extras / Einstellungen / Sicherheit" befindet sich die Funktion: "Warnen, wenn Webseiten versuchen Add-ons zu installieren". Aus Sicherheitsgründen empfehlen wir diese Funktion zu aktivieren.
Zum Vergrößern anklicken....
Quelle: virenschutz.info

Blödsinn, der Haken ist bei mir gesetzt, trotzdem wurde es installiert!

Supernature schrieb:
Wenn man die Firefox-Nutzer jetzt noch zusätzlich kitzeln möchte, dann fragt man ganz unschuldig, was das denn für ein unsicheres Stück Software ist, welches sich ein AddOn ohne Nachfrage einfach so unterschieben lässt.
Zum Vergrößern anklicken....

Grundsätzlich stimme ich dir zu, allerdings ist es reichlich unverschämt, dass Microsoft, ohne einen Hinweis im Infotext des betreffenden Updates (und ich schaue da vorher rein), ein Add-on in einem Konkurrenzprodukt installiert.
 
Darüber sind wir einer Meinung. Aber leider hat man sich an derlei Verhalten auch schon fast gewöhnt, ich zitiere mich mal selbst:

Schließlich ändern laufend Softwareinstallationen irgendwelche Systemparameter ohne Rückfrage, jubeln einem Toolbars unter, die die Welt nicht braucht, reißen Dateizuordnungen an sich etc.
Grundsätzlich muss man inzwischen leider bei fast jeder Installation davon ausgehen, dass möglicherweise etwas Ungewolltes passiert.
Zum Vergrößern anklicken....
 
Hab gerade nachgesehen, mein Fx hat sich trotz .NET 3.5 inklusive aller Updates das Ding nicht eingefangen. Muss wohl daran liegen, dass der .NET Updater nicht mitbekommen hat, dass der Fx zwar vorhanden, aber nur virtualisiert installiert ist und nicht in der Registry nachschaut :D
 
Timelord schrieb:
Achte auch mal auf das Ubuntu, nicht dass da plötzlich KB123... installiert wird, wenn du mit der Windows-Platte bootest. ;)
Zum Vergrößern anklicken....

Das Windows hatte sich gestern für einen schnellen Rauswurf qualifiziert und kann jetzt leider nicht mehr booten nachdem ich nach gefühlten 4h auch mein USB-Headset zum laufen bekommen habe. ;)
 
Supernature schrieb:
Wenn man die Firefox-Nutzer jetzt noch zusätzlich kitzeln möchte, dann fragt man ganz unschuldig, was das denn für ein unsicheres Stück Software ist, welches sich ein AddOn ohne Nachfrage einfach so unterschieben lässt.

Und die Frage meine ich durchaus ernst.
Zum Vergrößern anklicken....

Firefox verdankt seinen Erfolg zu weiten Teilen seinen Schnittstellen für Plugins und Erweiterungen, die ihn eben sehr weit anpassbar machen.
Das lässt natürlich auch Raum für Missbrauch.

Wobei ich das Thema nicht zu bedeutsam finde:
.net ist auch eine im Internet beheimatete Plattform. Das Microsoft nun auch die Nummer 2 der Webbrowser mit unterstützt ist schon ein Ritterschlag.
Und da man ja immer noch gefragt wird bevor ein Modul einer Webseite geladen wird finde ich den Schaden überschaubar.

Und da die Windowsupdates ja mit Adminrechten ausgeführt werden müssen, ist es von der Seite der Anwendung aus schwierig hier eine wirkungsvolle Überprüfung einzubauen.
 
Zuletzt bearbeitet:
@ tobim1986
Siehe auch ein klein wenig weiter oben, sogar mit Bildchen. :rolleyes:

Aber leider hat man sich an derlei Verhalten auch schon fast gewöhnt,
Zum Vergrößern anklicken....
So ist es. Auch wenn ich mir damit bestimmt keine Freunde mache: Ich verstehe die Aufregung nicht wirklich. Es passiert doch unter Windows laufend, dass ungefragt irgendwelche Sachen installiert werden, wenn man nicht aufpasst:

Da werden ziemlich dreist BHOs in den Internet Explorer gepackt (was nun auch nicht gerade der Sicherheit dient), z. B. Adobe und Java lassen grüßen.

Oder Programme die dort nun wirklich nichts zu suchen haben, nisten sich ungefragt im Autostart ein. Ich habe z.B. noch nie begriffen, was ein Sound- oder Grafiktreiber im Autostart zu suchen hat.

Oder es werden, wenn man nicht reagiert, Programme (mit-) installiert, die man gar nicht haben will.

usw. usw.

Also ist das für den Win-Home-User doch ganz normal, er ist längst nicht mehr Chef am PC. Die Aufregung über dieses nun wirklich nicht sonderlich aufregende Addon ist somit nur damit zu erklären, dass ausgerechnet der OS-Lieferant ungefragt am System rumfummelt. Du meine Güte, das macht er doch laufend. Also braucht er ein gewisses Vertrauen und wenn man das nicht hat, dann sollte man die Konsequenzen ziehen. Alternativen gibt es genug.
 
Aber leider hat man sich an derlei Verhalten auch schon fast gewöhnt,
Zum Vergrößern anklicken....
Deshalb ist es aber noch lange nicht richtig.

brom schrieb:
Ich verstehe die Aufregung nicht wirklich. Es passiert doch unter Windows laufend, dass ungefragt irgendwelche Sachen installiert werden, wenn man nicht aufpasst...
Zum Vergrößern anklicken....

Ungefragt? Eher weniger, denn wenn ich aufmerksam bei der Installation bin, kann ich auch noch rechtzeitig reagieren. Die Windows-Updates kann man so einstellen, dass sie erst installiert werden, wenn man es will. Und dabei hat man immer die Möglichkeit nachzuschauen was das für ein Update ist. Bei dem betreffenden Update wurde allerdings die Info unterschlagen, was es wirklich macht.

brom schrieb:
... Die Aufregung über dieses nun wirklich nicht sonderlich aufregende Add-on ist somit nur damit zu erklären, dass ausgerechnet der OS-Lieferant ungefragt am System rumfummelt. Du meine Güte, das macht er doch laufend.
Zum Vergrößern anklicken....

Wenn Microsoft in seiner eigenen Software irgend was ohne konkrete Info verändert, ist das die eine Geschichte. Wenn Microsoft aber in einer fremden Software rumfummelt und das auch noch ohne entsprechenden Hinweis, ist das eine Frechheit.

In diesem Fall: Installation von Software durch Webseiten mit dem Anklicken eines einzigen Links.
Also: Ein falscher Klick und die Software (oder der Schädling) ist auf dem Rechner. Nein danke, so einfach will ich es fremden Programmen dann doch nicht machen.

brom schrieb:
Also braucht er ein gewisses Vertrauen und wenn man das nicht hat, dann sollte man die Konsequenzen ziehen. Alternativen gibt es genug.
Zum Vergrößern anklicken....

Genau dieses Vertrauen wurde hier verletzt. Da vor der Installation keine Information erfolgte und das Add-on erst nach Protesten der Firefox-Gemeinde und nur durch ein weiteres manuell zu installierendes Update deinstallierbar wurde.
Hätte Firefox im Microsoft-Betriebssystem irgend etwas verändert wäre das Geschrei bei Microsoft groß gewesen.
 
Danke für die Info, HeikeFy :) :)

Einmal, weil ich es prinzipiell nicht mag, wenn sich etwas ungefragt installiert.

Die etwas älteren unter uns erinnern sich vielleicht noch an die seitenlangen Ad-Ware-Empörungs-Threads früherer Tage. Der technische Vorgang einer ungefragten Installation ist auch nichts Anderes.

Zum Anderen, weil ich das St.Florians Prinzip nicht mag -
oder war es Biedermann und die Brandstifter?

Mal spekuliert, dies sei nur der Einstieg in eine neue Installationsvariante seitens Microsoft.

Etwas weiter spekuliert, dies sei nur der Probelauf, um persönliche Windows Anpassungen schwieriger bis unmöglich zu gestalten.

Mal kurz die Forensuche bemüht:
Neuigkeit: Microsoft-Patent: Hardware-Abschaltung bei Piraterie - drwindows.de

Nun, ich möchte weder Geisterszenarien an die Wand malen noch Verschwörungstheorien hier off-topic diskutieren.

Aber wundern tuts mich schon, daß mit einer gewissen Leichtigkeit des Seins wertvolle Informationen einfach so auf die Schnelle mal mit Was solls Kommentaren versehen werden.

War keine Schelte - just my 5 Cents. :)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben