Firefox blokkeert Java en verouderd Flash automatisch
Mozilla wil cybercriminelen de pas afsnijden en blokkeert externe plug-ins in de Firefox-browser vanaf nu automatisch. Alleen de nieuwste versie van Adobe Flash krijgt nog een toegangskaartje.
Op zijn Mozilla Security Blog ging de opensourcestichting dinsdag dieper in op een recente wijziging in de manier waarop zijn Firefox-browser omspringt met externe plug-ins. Eind vorig jaar introduceerde de stichting een nieuwe bètafunctie, Click to Play, die het automatisch laden van bekende hulpprogramma’s als Java of Silverlight blokkeert.
De meeste moderne websites maken op de één of andere manier gebruik van externe software om grafische elementen weer te geven. Er is in principe niets mis met het gebruik van deze plug-ins om verrijkt materiaal te tonen, maar ze zijn een populair doelwit van cybercriminelen om surfers te besmetten via zogenoemde drive-by downloads.
[related_article id=”161920″]
Omdat veel surfers verouderde versies van plug-ins in hun browser draaien, kunnen malwareschrijvers misbruik maken van de lekken in deze ongepatchte plug-ins. Telkens als Firefox voortaan zo’n verouderde plug-in tegenkomt, zal het die automatisch blokkeren en moet een gebruiker eerst handmatig toestemming geven om een filmpje te kunnen afspelen of een pdf in de browser te kunnen lezen. Het hoopt dat zo minder mensen onbewust beworden besmet als zij hun favoriete nieuwssite of webwinkel bezoeken.
“Click to Play is al in werking gesteld voor veel plug-ins die aanzienlijke veiligheids- of stabiliteitsrisico’s opleveren voor onze gebruikers”, zei Michael Coates, het hoofd van ‘security assurance’ bij Mozilla.
“Daarbij horen kwetsbare en verouderde versies van Silverlight, Adobe Reader en Java”, vulde hij aan.
Flash krijgt voordeel van de twijfel
De nieuwe functie slaat niet aan bij Adobe Flash, zolang Firefox-gebruikers tenminste een Flash-versie draaien die nieuwer is dan 10.2.x. Adobe is sinds vorig jaar begonnen met het automatisch patchen van zijn plug-ins, waardoor gebruikers in principe veilig moeten zijn.
Uiteindelijk wil Mozilla alle bestaande plug-ins, behalve de nieuwste versie van Flash, dwingen om langs de Click to play-portier te gaan. Java, een van de voornaamste bronnen van infectie via de browser, heeft dit privilige niet, totdat eigenaar Oracle een soortgelijke patchroutine als die van Adobe heeft geadopteerd.