QCon 演讲火热征集中,快来分享你的技术实践与洞见! 了解详情
写点什么

.NET 安全漏洞波及 Firefox

  • 2009-10-27
  • 本文字数:964 字

    阅读完需:约 3 分钟

近日缘起于.NET 的一个安全漏洞不仅对 Internet Explorer 造成了影响,甚至连 Firefox 也未能幸免。罪魁祸首是 Firefox 上的一个.NET 附加组件,目前该组件已经被 Mozilla 禁用了。

XBAP XAML Browser Application 的简称)技术用于在 Windows 上创建 RIA 应用。虽然从目的上来说,XBAP 类似于 Silverlight,但它可以创建重量级应用,能够利用.NET 和 XAML 的所有功能,所创建的应用可以运行在浏览器中。XBAP 应用具有扩展名.xbap 并且运行在沙箱中,用户只需点击一下鼠标就能从本地系统或是网上将应用加载到 IE 中。XBAP 需要.NET 3.0 支持,并且只能运行在 IE 6-8 上,但.NET 3.5 为 Firefox 安装了一个名为”Windows Presentation Foundation“(WPF)的插件以使Firefox 用户能够运行XBAP 应用。

Mozilla 工程部副主席 Mike Shaver 说:今年 7 月有人发现并报告了.NET XABP 组件中的一个安全漏洞,随后微软也在公告 MS09-054 中确认了该漏洞并将其标记为严重,微软安全研究与预防组的博客上也对该漏洞进行了深入分析。根据微软所述,恶意站点可以利用该漏洞在用户机器上运行代码。虽然过去也发现了很多漏洞,但这一次却很特别,因为它不仅影响IE 还波及到了Firefox。

微软已经联手Mozilla 共同解决该问题。为了保护用户,Mozilla 已经禁用了WPF 和其他有问题的插件。Firefox 会自动检测这类禁用的插件,一旦发现就会提示用户,如下图所示:

用户可以禁用该插件,但也可以忽略掉该警告。

微软已经发布了IE 安全更新包(KB 974455),一周前用户就可以通过自动更新下载这些安全包。虽然很多用户已经打上了补丁,但Mozilla 仍坚持要等到绝大多数的系统都打上补丁后才解禁WPF 附加组件。下图展示了禁用的WPF 附加组件:

细心的用户不难发现Firefox 上另一个重要的附加组件Apple QuickTime 插件也被禁用了。原因类似:远程代码执行( bug 430826 )。

一些用户对 Mozilla 的做法提出了质疑。 Bertrand Le Roy 就说到

这么做看起来没什么问题,但你一定会问:下一次 Flash 如果也有安全漏洞的话,Mozilla 会不会也禁用掉它呢?

Mike Shaver 回答到:

如果 Adobe 认为这么做能够解决漏洞问题我们就会这么做,或是提供一个”保险箱“来部署更新。

Shaver 说这么做是在与微软进行过深入讨论后由 Mozilla 决定的。

查看英文原文: A .NET Security Vulnerability Has Affected Firefox

2009-10-27 02:061109
用户头像

发布了 88 篇内容, 共 263.6 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

Video Copilot Element 3D for Mac(AE三维模型插件) v2.2.3.2190激活版

iMac小白

自然语言开发AI应用,利用云雀大模型打造自己的专属AI机器人

快乐非自愿限量之名

人工智能 AI 自然语言 大模型

平台+低代码:中小企业数字化转型普惠之路

EquatorCoco

低代码 数字化 平台 企业转型

全网最全的幻兽帕鲁服务器搭建教程—阿里云【保姆级/高性价比】

申公豹

幻兽帕鲁

架构实战营模块 8 作业

陈斌

#架构实战营

Mocaverse NFT 概览与数据分析

Footprint Analytics

NFT

SD-WAN:企业网络转型的不可逆趋势

Ogcloud

SD-WAN SD-WAN组网 SD-WAN服务商

低代码平台四大常见用例开发:简化企业数字化进程

不在线第一只蜗牛

低代码 数字化 项目开发 企业转型

Java 运算符详解与字符串处理技巧

小万哥

Java 程序人生 编程语言 软件工程 后端开发

文心一言 VS 讯飞星火 VS chatgpt (193)-- 算法导论14.3 1题

福大大架构师每日一题

福大大架构师每日一题

云上未来:探索云计算的技术变革与应用趋势

快乐非自愿限量之名

云计算 运维 服务器

一张“哑火”的AI禁令

脑极体

AI

Go中最常用的数据校验库

fliter

已有天翼云Ubuntu云主机,搭建幻兽帕鲁服务器

天翼云开发者社区

云计算 云主机 云服务器

基于低代码的任务管理平台开发:简化工作流程,提高工作效率

快乐非自愿限量之名

低代码 数字化 低代码开发 项目开发

极狐 GitLab 和 Xcode Cloud 集成,实现 iOS 的自动打包

极狐GitLab

裁员+失恋或许不能比这更遭了,敬一塌糊涂与充满感动的2023,也敬曾经的挚爱与寒冬的冰霜

小明Java问道之路

理论与实战:一篇看懂Python词云

不在线第一只蜗牛

Python 前端 开发语言

DevEco Studio 4.1带来多种调试能力,助力鸿蒙原生应用开发高效调试

新消费日报

区块链游戏解说:Axie Infinity 是什么

Footprint Analytics

NFT

八种常见的云存储安全风险及防护建议

伤感汤姆布利柏

雷军不再主讲小米手机发布会;苹果明确:Vision Pro 头显电池某些场景会降低其性能丨 RTE 开发者日报 Vol.142

声网

企业网络采用SD-WAN的优势

Ogcloud

SD-WAN SD-WAN组网 SD-WAN服务商

唯品会商品详情数据接口Python

tbapi

唯品会商品列表数据接口 唯品会API接口 唯品会商品数据接口 唯品会商品数据采集接口

提前祝大家新年好!来看看社区 2023 都得了哪些奖吧~

声网

《UNIX网络编程 卷2:进程间通信(第2版)》PDF

程序员李木子

如何用ETL工具实现API调用

RestCloud

ETL 数据集成 API调用

利用技术潜能实现企业全面预算管理的智能化转型

智达方通

信息技术 财务分析 全面预算管理 财务规划

.NET安全漏洞波及Firefox_.NET_Abel Avram_InfoQ精选文章