02. Juni 2009
Posted in Internet News

In Sicherheitsfragen kommt es oft auf den Standpunkt an: Was Microsoft als Reaktion auf Wünsche der Entwickler und als "vernünftige" Maßnahme bezeichnet, ist nach Darstellung von Annoyances.org die ungefragte Infizierung des Firefox Browsers mit einer der "gefährlichsten Sicherheitslücken", die bisher nur den Microsoft Internet Explorer auszeichnete.

Gemeint ist mit beidem die Installation einer Browser-Erweiterung im Firefox, die mit einem Sicherheits-Update für Windows bereits im Februar dieses Jahres für viele unbemerkt erfolgte. Erst ein Blick in die Liste der installierten "Add-Ons", zeigt das Vorhandensein der "Extension". Die Erweiterung unterstützt die .NET Software-Plattform Microsofts und macht es insbesondere möglich, dafür entwickelte Click Once-Anwendungen im Firefox auszuführen.

Wie Microsoft-Entwickler Brad Adams dazu in einem Blog schreibt, hatten erst einige "folks" den Wunsch geäußert, dass Click Once-Anwendungen "sauber" im Firefox gestartet werden können. Eine danach für die händische Installation veröffentlichte Erweiterung habe zwar gute Bewertungen erhalten. Doch vermutlich geht es dieser Erweiterung wie allen anderen: Sie wurde nicht installier, denn die Firefox-Erweiterungen sind offenbar nur etwas für die "Geeks" unter den Benutzern.

Da aber viele Kunden Microsofts die Firefox-Unterstützung im Framework selbst geliefert sehen wollten, wurde dies über ein Update eingeführt. Was im Klartext bedeutet, dass mit dem oft automatisch erfolgenden Windows-Update auch eine Firefox-Erweiterung installiert wurde. Schon das könnte man als eine Grenzüberschreitung betrachten. Doch nach Darstellung von Annoyances.org hat Microsoft bei dieser Erweiterung auch noch die Möglichkeit einer Deinstallation deaktiviert. Daher ist eine Deinstallation nun nur über eine Bearbeitung der Registry möglich - wovon man weniger erfahrenen Anwendern normalerweise eher abrät.

Für Annoyances.org ist dieses Vorgehen nur ein weiteres Ärgernis aus dem Hause Microsoft. Für Microsoft-Mann Adams dagegen war die maschinen-bezogene Installation das sinnvollste Vorgehen, um die .NET-Erweiterung allen Benutzern eines Rechners zugänglich zu machen. Auch wenn dadurch die Deinstallation im Browseraußer Funktion gesetzt wurde.

In dem Umstand, dass mit diesem Update die Software eines anderen Herstellers manipuliert wurde, beziehungsweise dass hier Code installiert wurde, ohne den Benutzer zu fragen, sieht Adams dagegen kein Problem. Das aber ist ist eine weit verbreitete Haltung bei Software-Herstellern. Da die Erweiterung auch die Funktionalität enthält, Microsoft über vorhandene .NET-Installationen auf dem Client-Rechner zu informieren, fühlt man sich an die inzwischen eingeschlafene Spyware-Diskussion erinnert.

Dieses Thema wurde zuletzt im Jahr 2004 sehr intensiv diskutiert, weil damals im US-Bundesstaat Utah und später auch bundesweit ein Gesetzesentwurf im Gespräch war, der zunächst als "AntiSpyware Bill" ein positives Medienecho fand. Doch dieser Gesetzesentwurf stieß umgehend auf den Widerstand von den verschiedensten Unternehmen wie beispielsweise Microsoft, aber auch Amazon, eBay und Google. In Folge dieser Kritik kam es zu keinem Gesetz dieser Art.

Damit wurde aber auch eine der ersten gesetzlichen Maßnahmen verhindert, mit der Huckepack-Installationen eingeschränkt werden könnten. Somit sind Installationen wie die der Firefox-Erweiterung nicht zu verbieten, solange sie keine direkten Nachteile für den Benutzer mit sich bringen. Microsoft hat in diesem Fall zwar klar seine Monopolstellung ausgenutzt, um die .NET-Verbreitung auszuweiten.

Doch "schräge" Vorgehensweisen bei der Software-Distribution sind keine Ausnahme. Man denke nur daran, dass Apple seinen Safari-Browser per Voreinstellung mit jedem Quicktime-Update installiert. Die .NET-Erweiterung Microsofts geht allerdings noch etwas weiter, denn mit ihr wird die Software eines anderen Herstellers in einem Sinne manipuliert, mit dem viele Benutzer dieser Software sicher nicht einverstanden sind.

Denn es liegt auf der Hand, dass viele Firefox-Nutzer eine Abneigung gegen den Explorer haben. Warum sollten sie also eine Erweiterung installieren, die eine für den Explorer typische Funktionalität im Firefox einführt? Auch bei Microsoft zeigt man sich nach der Kritik an diesem Vorgehen schuldbewusst und kündigt ein Update an, mit dem die Erweiterung nicht mehr auf Ebene des Rechners, sondern des Anwenders installiert wird. Somit wird auch die Möglichkeit wieder aktiviert, das Add-on im Browser zu deinstallieren.

Das aber ist nicht das eigentliche Problem. Denn nach wie vor wird die Funktions-Erweiterung im Rahmen eines Sicherheits-Updates installiert. Obwohl die .NET-Erweiterung nicht für mehr Sicherheit sorgt, sondern im Gegenteil die Sicherheit einschränken kann.

 

 

Links:

• Posting bei Annoyances
• Posting von Brad Adams
• Protestschreiben aus 2004
• Posting bei Security Fix

< Neuere		Ältere >