QCon 演讲火热征集中,快来分享技术实践与洞见! 了解详情
写点什么

.NET 安全漏洞波及 Firefox

  • 2009-10-27
  • 本文字数:964 字

    阅读完需:约 3 分钟

近日缘起于.NET 的一个安全漏洞不仅对 Internet Explorer 造成了影响,甚至连 Firefox 也未能幸免。罪魁祸首是 Firefox 上的一个.NET 附加组件,目前该组件已经被 Mozilla 禁用了。

XBAP XAML Browser Application 的简称)技术用于在 Windows 上创建 RIA 应用。虽然从目的上来说,XBAP 类似于 Silverlight,但它可以创建重量级应用,能够利用.NET 和 XAML 的所有功能,所创建的应用可以运行在浏览器中。XBAP 应用具有扩展名.xbap 并且运行在沙箱中,用户只需点击一下鼠标就能从本地系统或是网上将应用加载到 IE 中。XBAP 需要.NET 3.0 支持,并且只能运行在 IE 6-8 上,但.NET 3.5 为 Firefox 安装了一个名为”Windows Presentation Foundation“(WPF)的插件以使Firefox 用户能够运行XBAP 应用。

Mozilla 工程部副主席 Mike Shaver 说:今年 7 月有人发现并报告了.NET XABP 组件中的一个安全漏洞,随后微软也在公告 MS09-054 中确认了该漏洞并将其标记为严重,微软安全研究与预防组的博客上也对该漏洞进行了深入分析。根据微软所述,恶意站点可以利用该漏洞在用户机器上运行代码。虽然过去也发现了很多漏洞,但这一次却很特别,因为它不仅影响IE 还波及到了Firefox。

微软已经联手Mozilla 共同解决该问题。为了保护用户,Mozilla 已经禁用了WPF 和其他有问题的插件。Firefox 会自动检测这类禁用的插件,一旦发现就会提示用户,如下图所示:

用户可以禁用该插件,但也可以忽略掉该警告。

微软已经发布了IE 安全更新包(KB 974455),一周前用户就可以通过自动更新下载这些安全包。虽然很多用户已经打上了补丁,但Mozilla 仍坚持要等到绝大多数的系统都打上补丁后才解禁WPF 附加组件。下图展示了禁用的WPF 附加组件:

细心的用户不难发现Firefox 上另一个重要的附加组件Apple QuickTime 插件也被禁用了。原因类似:远程代码执行( bug 430826 )。

一些用户对 Mozilla 的做法提出了质疑。 Bertrand Le Roy 就说到

这么做看起来没什么问题,但你一定会问:下一次 Flash 如果也有安全漏洞的话,Mozilla 会不会也禁用掉它呢?

Mike Shaver 回答到:

如果 Adobe 认为这么做能够解决漏洞问题我们就会这么做,或是提供一个”保险箱“来部署更新。

Shaver 说这么做是在与微软进行过深入讨论后由 Mozilla 决定的。

查看英文原文: A .NET Security Vulnerability Has Affected Firefox

2009-10-27 02:061113
用户头像

发布了 88 篇内容, 共 264.1 次阅读, 收获喜欢 8 次。

关注

评论

发布
暂无评论
发现更多内容

Logo设计软件 Tech Support

凌天一击

实测Tengine开源的Dubbo功能

捉虫大师

dubbo 网关 tengine

终于看到阿里大牛能把springboot讲的如此出神入化

Java 程序员 架构 计算机

Flink的批数据SQL

五分钟学大数据

flink 5月日更

合作伙伴眼中的HarmonyOS 专访方太智能厨电专家俞贵涛

科技汇

集成学习中的随机森林

华为云开发者联盟

机器学习 决策树 随机森林 集成学习 Bagging

BI系统里的数据赋能与业务决策

薄荷点点

数据产品经理 决策 BI 数据驱动 风险识别

OCR性能优化:从神经网络到橡皮泥

华为云开发者联盟

神经网络 机器学习 OCR 橡皮泥 CNN网络

GitHub开源14.5万行阿波罗11号源代码

不脱发的程序猿

GitHub 开源 阿波罗11号

最佳入门系列 | 何为服务网关?

架构精进之路

微服务 5月日更

为什么你的Docker容器刚启动就停了?

运维研习社

Docker Linux 5月日更

网络攻防学习笔记 Day27

穿过生命散发芬芳

5月日更 网络攻防

【大咖直播】Elastic 可观测性实战工作坊

腾讯云大数据

elastic

可视化突破海绵城市发展困境,智慧城市从“一张图”开始

一只数据鲸鱼

数据可视化 智慧城市 智慧水务 三维可视化 海绵城市

请警惕 ES 的三大坑

悟空聊架构

elasticsearch 架构 分布式 微服务 ES

Flume自定义拦截器

大数据技术指南

大数据 5月日更

MySQL 数据库救火:磁盘爆满了,怎么办?

华为云开发者联盟

数据库 磁盘 MySQL 数据库 日志文件 磁盘爆满

VSCode 无鼠标操作快捷键对比Atom

追风的少年

《复仇者联盟》AI换脸平台

不脱发的程序猿

人工智能 开源 AI 复仇者联盟

哈工大与华为终端有限公司签署首个HarmonyOS高校协同育人合作协议

科技汇

电子产品PCB电路板散热的方法

不脱发的程序猿

嵌入式 PCB 电路板散热 电子电路 电路板

【多线程与高并发】从一则招聘信息进入多线程的世界

牧小农

Java 多线程与高并发

聊聊微服务治理的落地问题 | Geek大咖说第二期

百度Geek说

微服务 自动化

索信达控股:金融机构如何打造最适合自己的个性化推荐系统?

索信达控股

大数据 金融科技 金融 个性化推荐 营销数字化

阿里云联合中国信通院发布《云计算开放应用架构》标准,加速云原生应用规模化落地进程

阿里巴巴云原生

容器 开发者 运维 云原生 k8s

网格策略交易软件,量化马丁倍投交易机器人

NUCLEO-L432KC实现UART1、UART2双串口数据通信(STM32L432KC)

不脱发的程序猿

嵌入式 stm32 单片机 NUCLEO-L432KC 串口通信

☕️【Java 技术之旅】带你看透Lambda表达式的底层

洛神灬殇

Java Lambda 底层原理 5月日更 行为参数化

视频门禁的优点及应用场景

anyRTC开发者

音视频 WebRTC RTC sdk

突击 22 天面进腾讯,给到 32K*14 薪!全靠这份阿里面试参考指南了

Java 程序员 架构 面试 计算机

阿里开源:历年亿级活动高并发系统设计场景总结

Java架构师迁哥

.NET安全漏洞波及Firefox_.NET_Abel Avram_InfoQ精选文章