La disponibilità o la presenza coatta di componenti aggiuntivi sulle piattaforme web dei concorrenti, il caso Google Chrome Frame sta lì a dimostrarlo, è un terreno di scontro di crescente rilevanza un po’ per tutti i principali protagonisti del settore. E si tratta di uno scontro, come il caso più recente che coinvolge Microsoft e Mozilla ben esemplifica, che non fa sconti a nessuno , men che meno agli utenti e alle loro esigenze.
L’ennesima querelle con al centro i browser web è partita dalle azioni di Microsoft, che mesi fa ha furtivamente installato alcuni componenti aggiuntivi in Mozilla Firefox assieme all’aggiornamento della sua piattaforma dot.NET Framework . L’aggiornamento, ha certificato Microsoft in seguito, introduceva pesanti vulnerabilità all’interno del sistema, incluso ovviamente il browser Mozilla caduto “vittima” dell’installazione “obbligatoria” decisa in quel di Redmond.
La vulnerabilità avrebbe potuto portare alla presa di controllo del PC da remoto, magari dall’interno di Firefox una volta convinto l’utente a visitare una pagina web opportunamente predisposta. Unita alla difficoltà di disinstallazione dei plugin dal panda rosso (per cui era necessario editare manualmente il registro di sistema), la cosa non ha fatto altro che scatenare polemiche sulla “solita” politica Microsoft e sull’abuso nei confronti di un browser concorrente che fa della sicurezza e della facilità d’impiego i suoi punti di forza.
Le vulnerabilità dot.NET dovrebbero essere risolte dopo l’ultima gragnola di patch mensili sganciata da Microsoft martedì scorso, patch che hanno tra l’altro aggiunto la possibilità di disinstallare i plugin incriminati senza seguire astruse procedure di editing a basso livello della configurazione di Windows. L’intervento di Microsoft non è però stato sufficientemente tempestivo da evitare lo scoppio del “caso” anche dal lato Mozilla , che in risposta alla scoperta della vulnerabilità in dot.NET ha preso a bloccare i plugin installati attraverso il suo meccanismo di blacklist automatizzato.
Il primo, dot.NET Framework Assistant , è stato in seguito rimosso dalla blacklist una volta che Mozilla aveva avuto la conferma da parte di Microsoft che il componente non era exploitabile per guadagnare privilegi sulla macchina bersaglio. Nel frattempo però il suo blocco aveva provocato i malumori di alcuni amministratori, impossibilitati a servirsi di software basato appunto sul framework dot.NET.
Mozilla dal canto suo si è giustificata dicendo che al momento la blacklist dei plugin non è in grado di riconoscere un sistema patchato da uno ancora vulnerabile, e mentre si promettono migliorie da questo punto di vista il plugin Windows Presentation Foundation (WPF) rimane bloccato in attesa di avere garanzie sulla non vulnerabilità del componente. Il controllo più stringente dei plugin è d’altronde una policy che Mozilla ha deciso di fare propria a partire dalle ultime build del browser, soprattutto dalla prossima versione 3.6 .
Alfonso Maruccia