モジラ、「.NET」向けFirefoxアドオンを一時的にブロック

　Mozillaは米国時間10月16日、Microsoftの「Firefox」向けプラグインである「.NET Framework Assistant」を、セキュリティ上の問題により無効にしたが、パッチの当たったブラウザを使用するユーザーにはこれを強制ブロックするというオプションを与えるために奔走することとなった。

　（編集部注：その後、Mozillaのエンジニアリング担当バイスプレジデントを務めるMike Shaver氏は18日Twitterで、.NET Framework Assistantは攻撃に利用できるものではないという確認をMicrosoftから得たとして、ブロックリストから同アドオンを削除したと述べている。以下はこれまでの経緯などをまとめたものとなっている）

　Shaver氏が自身のブログで最初の取り組みを発表したのは、16日夜遅くのこと。同氏は、「同アドオンは深刻なセキュリティ脆弱性を抱えることが最近明らかになり、Microsoftはすべてのユーザーに対し、これを無効にすることを推奨している」と述べた。「一部のユーザーにはこのアドオンの完全な削除が困難であり、また、このアドオンを無効にしない場合の危険性が深刻であるため、われわれは16日、Microsoftに連絡を取り、すべてのユーザーに対して、われわれのブロックリスティング機構によって、同エクステンションおよびプラグインを無効にすることを検討していることを伝えた。Microsoftはこの計画に同意し、われわれは直ちにこのブロックリストエントリを有効にした」（Shaver氏）

　.NET Framework Assistantは、Microsoftのプログラミング基盤である「.NET」上で動作するアプリケーションをインストールするための同社の「ClickOnce」技術を、Firefoxで使用するためのアドオンである。同アドオンは、一部のFirefoxユーザーにとってはすでに悩みの種で、ユーザーにこれがインストールされることを知らせたり、オプションを与えたりすることなく、Windows Updateによって「.NET Framework 3.5 Service Pack 1」とともに自動的にインストールされていた。またBelzner氏によると、「Firefox 3.5」とは互換性がなく、削除するには当初、ほとんどのユーザーにとって技術的に面倒な作業であるWindows Registryの編集が必要であったため、さらなる不満が生じていたという。

　Firefoxは、ブロックするアドオンのリストをMozillaサーバで定期的に確認する。Mozillaがこのアドオンをブロックすることにしたのは、ユーザーを保護するためだったのだが、これが他の問題を引き起こした。Shaver氏によると、このFirefoxの動作変更が、一部のシステム管理者の反感を買ったという。

　以前にMicrosoftで「Silverlight」プログラムマネージャーを務めていたJustin Angel氏はTwitterで、「ビジネスユーザーは自分のビジネスのコアとなる機能を使用できない場合、それをアンインストールする」と述べた。

　問題の1つとして、Mozillaのアドオンブロック技術は、ユーザーがソフトウェアにパッチを当てて脆弱ではなくなったかどうかを判断できないという点であった。「パッチが当たっているものと当たっていないものを識別することができないため、それが識別できるようになるまではこれをブロックする」とShaver氏はTwitterで述べていた。Mozillaは先週末、この問題への対応策に追われた。

　太平洋夏時間18日午後8時34分更新：「Windows Presentation Foundation（WPF）」に関連したMicrosoftの脆弱なもう1つのアドオンはまだブロックされている。同アドオンもまた、.NETのサービスパックとともにインストールされる。Shaver氏によると、こちらはもっと深刻だという。

　Shaver氏は18日夜、.NET Framework AssistantがFirefoxのブロックするアドオンリストから削除されたことを発表したブログ投稿で、「われわれは、ブロックリストから削除する前にWPFプラグインのブロックを無効にすることを望む（特に企業の）ユーザー向けにエクスペリエンスの改善に一生懸命取り組んでいる」と述べた。