.NET 安全漏洞波及 Firefox

  • Abel Avram
  • 张龙

2009 年 10 月 27 日

话题:.NET安全架构语言 & 开发

近日缘起于.NET 的一个安全漏洞不仅对 Internet Explorer 造成了影响,甚至连 Firefox 也未能幸免。罪魁祸首是 Firefox 上的一个.NET 附加组件,目前该组件已经被 Mozilla 禁用了。

XBAPXAMLBrowser Application 的简称)技术用于在 Windows 上创建 RIA 应用。虽然从目的上来说,XBAP 类似于 Silverlight,但它可以创建重量级应用,能够利用.NET 和 XAML 的所有功能,所创建的应用可以运行在浏览器中。XBAP 应用具有扩展名.xbap 并且运行在沙箱中,用户只需点击一下鼠标就能从本地系统或是网上将应用加载到 IE 中。XBAP 需要.NET 3.0 支持,并且只能运行在 IE 6-8 上,但.NET 3.5 为 Firefox 安装了一个名为”Windows Presentation Foundation“(WPF)的插件以使 Firefox 用户能够运行 XBAP 应用。

Mozilla 工程部副主席 Mike Shaver 说:今年 7 月有人发现并报告了.NET XABP 组件中的一个安全漏洞,随后微软也在公告MS09-054中确认了该漏洞并将其标记为严重,微软安全研究与预防组的博客上也对该漏洞进行了深入分析。根据微软所述,恶意站点可以利用该漏洞在用户机器上运行代码。虽然过去也发现了很多漏洞,但这一次却很特别,因为它不仅影响 IE 还波及到了 Firefox。

微软已经联手 Mozilla 共同解决该问题。为了保护用户,Mozilla 已经禁用了 WPF 和其他有问题的插件。Firefox 会自动检测这类禁用的插件,一旦发现就会提示用户,如下图所示:

用户可以禁用该插件,但也可以忽略掉该警告。

微软已经发布了 IE 安全更新包(KB 974455),一周前用户就可以通过自动更新下载这些安全包。虽然很多用户已经打上了补丁,但 Mozilla 仍坚持要等到绝大多数的系统都打上补丁后才解禁 WPF 附加组件。下图展示了禁用的 WPF 附加组件:

细心的用户不难发现 Firefox 上另一个重要的附加组件 Apple QuickTime 插件也被禁用了。原因类似:远程代码执行(bug 430826)。

一些用户对 Mozilla 的做法提出了质疑。Bertrand Le Roy 就说到

这么做看起来没什么问题,但你一定会问:下一次 Flash 如果也有安全漏洞的话,Mozilla 会不会也禁用掉它呢?

Mike Shaver 回答到:

如果 Adobe 认为这么做能够解决漏洞问题我们就会这么做,或是提供一个”保险箱“来部署更新。

Shaver 说这么做是在与微软进行过深入讨论后由 Mozilla 决定的。

查看英文原文:A .NET Security Vulnerability Has Affected Firefox

.NET安全架构语言 & 开发