En février de cette année, Microsoft a publié le Service Pack 1 pour le .NET Framework 3.5 par le biais de Windows Update. La mise à jour installe un plugin appelé “Windows Presentation Foundation” sur les ordinateurs qui disposent du navigateur Firefox. Selon les propres ingénieurs de Microsoft, le plugin rend le navigateur Mozilla et Internet Explorer vulnérables aux attaques.
Ce plugin provoque une défaillance technologique appelée ClickOnce, qui entraîne le téléchargement et l’exécution d’applications .NET dans les navigateurs. Les pirates et les craqueurs peuvent alors utiliser cette vulnérabilité pour diriger l’utilisateur vers une page contenant un code malveillant, infectant l’ordinateur.
Le conseil du groupe d’ingénierie est le même pour les deux navigateurs : désactivez le plugin. Dans IE7, il suffit d’aller dans les préférences de sécurité et de désactiver les applications XAML. Dans Firefox, il suffit d’aller dans le menu Outils, de choisir l’option Compléments, d’aller dans l’onglet Plugins et de désactiver le plugin Windows Presentation Foundation.
Pour le désinstaller complètement, il est nécessaire d’apporter certaines modifications au registre de Windows. Microsoft a mis la procédure à disposition sur ce lien.
[Mise à jour, à 15:32] : Poste corrigé avec les allusions de Paulo dans les commentaires. Merci !
[Mise à jour, à 19:30, 17/10] : Le lecteur Micael Silva a averti que Mozilla a désactivé à distance les dangereux plugins de Firefox.