Give me a Break

En Febrero de este año Microsoft publicó una actualización del framework .NET (pasando a la versión 3.5 SP1), que contenía una vulnerabilidad que permitía a un atacante instalar y ejecutar aplicaciones sin requerir permiso alguno.

La actualización en cuestión incluía un componente que garantizaba la compatibilidad con Windows Presentation Foundation, por medio de la tecnología ClickOnce. Dicha tecnología no sólo se instalaba en Internet Explorer, sino que también en Firefox sin que el usuario recibiera algún tipo de aviso al respecto, provocando que la vulnerabilidad también afectara al navegador de Mozilla.

El tema es que ahora Mozilla decidió salir al paso del problema creado por Microsoft, bloqueando el plugin de Microsoft luego de llegar a un acuerdo entre ambas compañías (como para que aprendan la lección).

Ahora los medios son los que han salido a apuntar a Microsoft con el dedo, no sólo por el hecho de que pasaran a llevar a los usuarios instalando una actualización que incluía una grave vulnerabilidad sino que también por hacerla extensiva a otros navegadores, sin siquiera advertirle a los usuarios y sin que estos tuvieran alguna alternativa para desinstalarla.

Otros apuntan a la compañía por el hecho de que sólo hace algunas semanas desde Microsoft salieron a criticar el plug-in Google Chrome Frame, complemento ideado para que Internet Explorer utilizara el mismo motor de Chrome, señalando que este hacía a su navegador más inseguro.

Link: Microsoft exposes Firefox users to drive-by malware downloads (Vía CHW)