החברה התריעה בפני מיקרוסופט כי תוספים אלה גורמים לפגיעות ביישומים שונים של מערכת ההפעלה שעלולה לגרום לגולשים המשתמשים בפיירפוקס להחשף לקודים עוינים. מיקרוסופט תיקנה את התקלה בעדכון האבטחה ששיחררה בשבוע שעבר.

מוזילה ניטרלה שני תוספים של מיקרוסופט לפיירפוקס כדי לסכל פגיעות שתאפשר לתוקפים להשתלט על מכונות חלונות. פרצת האבטחה תוקנה בידי מיקרוסופט בעדכון הגדול של יום שלישי שעבר.

מוזילה חסמה את השימוש בשני תוספים  שהותקנו בשקט על מחשבי חלונות המכילים את חבילת .NET Framework 3.5 Service Pack 1 האחד משמש לסיוע למשתמשי .NET Framework. והשני שימש כתשתית להצגת מערכת החלונות. זאת לאור הפגיעות שעלולה להזיק למשתמשי פיירפוקס.

"מכיוון שהמשתמשים נתקלו בקשיים בנסיון להסיר לחלוטין את שני התוספים ומכיוון שחומרת הסיכון גדולה, אם תוספים אלה לא ינוטרלו, יצרנו קשר עם מיקרוסופט כדי להודיע להם שאנחנו מבקשים לחסום את ההרחבות והתוספים הללו לכל המשתמשים באמצעות מנגנון החסימה שלנו" אמר מייק שבר, סגן נשיא להנדסה במוזילה בבלוג שפרסם ב-16 באוקטובר. "מיקרוסופט הסכימה לתוכנית והעלינו את התוספים לרשימת החסימות המקוונת שלנו." הוסיף.

הפגיעות בליבה של מערכת CVE-2009-2529 מככבת בעדכון של יום שלישי האחרון. כדי לנצל את הפגיעות הזו כל מה שנדרש מהמשתמש הוא לבקר באתר בעל קוד עוין, הסבירה מיקרוסופט בבלוג האבטחה וההגנה שלה.

לפי הבלוג של מיקרוסופט, הפעלת הפגיעות כוללת שימוש ביישום עוין הרץ על הדפדפן - XBAP (XAML Browser Application). היישומים הנפגעים הם Windows Presentation Foundation (WPF) hosting process, PresentationHost.exe. משתמשי פיירפוקס שהורידו את הטלאי של מיקרוסופט מוגנים כנגד הפגיעות אף הם, אומרים במיקרוסופט.

זו אינה הפעם הראשונה שמוזילה הביעה את חששה מפני התוספים של ספקים אחרים. מוקדם יותר השנה החליטה החברה להזהיר משתמשים אם הם משתמשים בגרסה פגועה של תוסף נגן הפלאש של אדובי.

לידיעה המלאה (אנגלית)