.NET 安全漏洞波及 Firefox

近日缘起于.NET 的一个安全漏洞不仅对 Internet Explorer 造成了影响，甚至连 Firefox 也未能幸免。罪魁祸首是 Firefox 上的一个.NET 附加组件，目前该组件已经被 Mozilla 禁用了。

XBAP （ XAML Browser Application 的简称）技术用于在 Windows 上创建 RIA 应用。虽然从目的上来说，XBAP 类似于 Silverlight，但它可以创建重量级应用，能够利用.NET 和 XAML 的所有功能，所创建的应用可以运行在浏览器中。XBAP 应用具有扩展名.xbap 并且运行在沙箱中，用户只需点击一下鼠标就能从本地系统或是网上将应用加载到 IE 中。XBAP 需要.NET 3.0 支持，并且只能运行在 IE 6-8 上，但.NET 3.5 为 Firefox 安装了一个名为”Windows Presentation Foundation“（WPF）的插件以使Firefox 用户能够运行XBAP 应用。

Mozilla 工程部副主席 Mike Shaver 说：今年 7 月有人发现并报告了.NET XABP 组件中的一个安全漏洞，随后微软也在公告 MS09-054 中确认了该漏洞并将其标记为严重，微软安全研究与预防组的博客上也对该漏洞进行了深入分析。根据微软所述，恶意站点可以利用该漏洞在用户机器上运行代码。虽然过去也发现了很多漏洞，但这一次却很特别，因为它不仅影响IE 还波及到了Firefox。

微软已经联手Mozilla 共同解决该问题。为了保护用户，Mozilla 已经禁用了WPF 和其他有问题的插件。Firefox 会自动检测这类禁用的插件，一旦发现就会提示用户，如下图所示：

用户可以禁用该插件，但也可以忽略掉该警告。

微软已经发布了IE 安全更新包（KB 974455），一周前用户就可以通过自动更新下载这些安全包。虽然很多用户已经打上了补丁，但Mozilla 仍坚持要等到绝大多数的系统都打上补丁后才解禁WPF 附加组件。下图展示了禁用的WPF 附加组件：

细心的用户不难发现Firefox 上另一个重要的附加组件Apple QuickTime 插件也被禁用了。原因类似：远程代码执行（ bug 430826 ）。

一些用户对 Mozilla 的做法提出了质疑。 Bertrand Le Roy 就说到：

这么做看起来没什么问题，但你一定会问：下一次 Flash 如果也有安全漏洞的话，Mozilla 会不会也禁用掉它呢？

Mike Shaver 回答到：

如果 Adobe 认为这么做能够解决漏洞问题我们就会这么做，或是提供一个”保险箱“来部署更新。

Shaver 说这么做是在与微软进行过深入讨论后由 Mozilla 决定的。

查看英文原文： A .NET Security Vulnerability Has Affected Firefox