BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

.NET安全漏洞波及Firefox

| 作者 Abel Avram 关注 10 他的粉丝 ,译者 张龙 关注 14 他的粉丝 发布于 2009年10月28日. 估计阅读时间: 3 分钟 | QCon上海2018 关注大数据平台技术选型、搭建、系统迁移和优化的经验。

近日缘起于.NET的一个安全漏洞不仅对Internet Explorer造成了影响,甚至连Firefox也未能幸免。罪魁祸首是Firefox上的一个.NET附加组件,目前该组件已经被Mozilla禁用了。

XBAPXAMLBrowser Application的简称)技术用于在Windows上创建RIA应用。虽然从目的上来说,XBAP类似于Silverlight,但它可以创建重量级应用,能够利用.NET和XAML的所有功能,所创建的应用可以运行在浏览器中。XBAP应用具有扩展名.xbap并且运行在沙箱中,用户只需点击一下鼠标就能从本地系统或是网上将应用加载到IE中。XBAP需要.NET 3.0支持,并且只能运行在IE 6-8上,但.NET 3.5为Firefox安装了一个名为”Windows Presentation Foundation“(WPF)的插件以使Firefox用户能够运行XBAP应用。

Mozilla工程部副主席Mike Shaver说:今年7月有人发现并报告了.NET XABP组件中的一个安全漏洞,随后微软也在公告MS09-054中确认了该漏洞并将其标记为严重,微软安全研究与预防组的博客上也对该漏洞进行了深入分析。根据微软所述,恶意站点可以利用该漏洞在用户机器上运行代码。虽然过去也发现了很多漏洞,但这一次却很特别,因为它不仅影响IE还波及到了Firefox。

微软已经联手Mozilla共同解决该问题。为了保护用户,Mozilla已经禁用了WPF和其他有问题的插件。Firefox会自动检测这类禁用的插件,一旦发现就会提示用户,如下图所示:

image

用户可以禁用该插件,但也可以忽略掉该警告。

微软已经发布了IE安全更新包(KB 974455),一周前用户就可以通过自动更新下载这些安全包。虽然很多用户已经打上了补丁,但Mozilla仍坚持要等到绝大多数的系统都打上补丁后才解禁WPF附加组件。下图展示了禁用的WPF附加组件:

image

细心的用户不难发现Firefox上另一个重要的附加组件Apple QuickTime插件也被禁用了。原因类似:远程代码执行(bug 430826)。

一些用户对Mozilla的做法提出了质疑。Bertrand Le Roy就说到

这么做看起来没什么问题,但你一定会问:下一次Flash如果也有安全漏洞的话,Mozilla会不会也禁用掉它呢?

Mike Shaver回答到:

如果Adobe认为这么做能够解决漏洞问题我们就会这么做,或是提供一个”保险箱“来部署更新。

Shaver说这么做是在与微软进行过深入讨论后由Mozilla决定的。

查看英文原文:A .NET Security Vulnerability Has Affected Firefox

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

!!!!!!!!!!!!1 by 王 小飞

还是firefox为用户考虑的多,不安全的直接禁止

Re: !!!!!!!!!!!!1 by wang egmkang

关键是那些插件完全不知道能干啥

下一次Flash如果也有安全漏洞的话,Mozilla会不会也禁用掉它呢? by Ma Karl

我想我不知道。

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

3 讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT