.NET安全漏洞波及Firefox(图)

安全 漏洞
XBAP(XAMLBrowserApplication的简称)技术用于在Windows上创建RIA应用。虽然从目的上来说,XBAP类似于Silverlight,但它可以创建重量级应用,能够利用.NET和XAML的所有功能,所创建的应用可以运行在浏览器中。

XBAP(XAMLBrowserApplication的简称)技术用于在Windows上创建RIA应用。虽然从目的上来说,XBAP类似于Silverlight,但它可以创建重量级应用,能够利用.NET和XAML的所有功能,所创建的应用可以运行在浏览器中。XBAP应用具有扩展名.xbap并且运行在沙箱中,用户只需点击一下鼠标就能从本地系统或是网上将应用加载到IE中。XBAP需要.NET3.0支持,并且只能运行在IE6-8上,但.NET3.5为Firefox安装了一个名为”WindowsPresentationFoundation“(WPF)的插件以使Firefox用户能够运行XBAP应用。

Mozilla工程部副主席MikeShaver说:今年7月有人发现并报告了.NETXABP组件中的一个安全漏洞,随后微软也在公告MS09-054中确认了该漏洞并将其标记为严重,微软安全研究与预防组的博客上也对该漏洞进行了深入分析。根据微软所述,恶意站点可以利用该漏洞在用户机器上运行代码。虽然过去也发现了很多漏洞,但这一次却很特别,因为它不仅影响IE还波及到了Firefox。

微软已经联手Mozilla共同解决该问题。为了保护用户,Mozilla已经禁用了WPF和其他有问题的插件。Firefox会自动检测这类禁用的插件,一旦发现就会提示用户,如下图所示:

用户可以禁用该插件,但也可以忽略掉该警告。

微软已经发布了IE安全更新包(KB974455),一周前用户就可以通过自动更新下载这些安全包。虽然很多用户已经打上了补丁,但Mozilla仍坚持要等到绝大多数的系统都打上补丁后才解禁WPF附加组件。下图展示了禁用的WPF附加组件:

细心的用户不难发现Firefox上另一个重要的附加组件AppleQuickTime插件也被禁用了。原因类似:远程代码执行(bug430826)。

一些用户对Mozilla的做法提出了质疑。BertrandLeRoy就说到:

这么做看起来没什么问题,但你一定会问:下一次Flash如果也有安全漏洞的话,Mozilla会不会也禁用掉它呢?

MikeShaver回答到:

如果Adobe认为这么做能够解决漏洞问题我们就会这么做,或是提供一个”保险箱“来部署更新。

Shaver说这么做是在与微软进行过深入讨论后由Mozilla决定的。

【编辑推荐】

  1. 谷歌发布Android安全漏洞补丁修复两个DoS漏洞
  2. 微软紧急发布SMBv2安全漏洞补丁缓解风险
  3. 360安全卫士:打漏洞补丁防止微软“黑屏”
责任编辑:安泉 来源: 安全中国
相关推荐

2009-03-07 09:59:16

2021-08-26 05:36:52

零日漏洞漏洞网络攻击

2022-04-19 09:38:11

漏洞7-Zip压缩软件

2012-09-03 14:22:02

2010-07-26 15:37:12

telnet安全漏洞

2014-06-03 09:23:41

2014-06-03 11:36:18

2011-12-26 11:22:48

2020-10-09 09:52:00

漏洞分析

2021-05-12 10:46:23

漏洞BINDDNS服务器

2010-03-05 15:46:05

2023-12-31 09:06:08

2022-07-06 11:50:43

漏洞网络攻击

2024-06-07 15:26:22

2010-08-30 13:07:31

2011-08-08 15:48:08

2009-05-13 09:49:07

2014-03-02 15:06:33

2010-07-22 11:27:55

telnet安全漏洞

2023-05-29 14:47:46

语音诈骗漏洞人工智能
点赞
收藏

51CTO技术栈公众号