XBAP（XAMLBrowserApplication的簡稱）技術(shù)用于在Windows上創(chuàng)建RIA應(yīng)用。雖然從目的上來說，XBAP類似于Silverlight，但它可以創(chuàng)建重量級(jí)應(yīng)用，能夠利用.NET和XAML的所有功能，所創(chuàng)建的應(yīng)用可以運(yùn)行在瀏覽器中。XBAP應(yīng)用具有擴(kuò)展名.xbap并且運(yùn)行在沙箱中，用戶只需點(diǎn)擊一下鼠標(biāo)就能從本地系統(tǒng)或是網(wǎng)上將應(yīng)用加載到IE中。XBAP需要.NET3.0支持，并且只能運(yùn)行在IE6-8上，但.NET3.5為Firefox安裝了一個(gè)名為”WindowsPresentationFoundation“（WPF）的插件以使Firefox用戶能夠運(yùn)行XBAP應(yīng)用。

Mozilla工程部副主席MikeShaver說：今年7月有人發(fā)現(xiàn)并報(bào)告了.NETXABP組件中的一個(gè)安全漏洞，隨后微軟也在公告MS09-054中確認(rèn)了該漏洞并將其標(biāo)記為嚴(yán)重，微軟安全研究與預(yù)防組的博客上也對該漏洞進(jìn)行了深入分析。根據(jù)微軟所述，惡意站點(diǎn)可以利用該漏洞在用戶機(jī)器上運(yùn)行代碼。雖然過去也發(fā)現(xiàn)了很多漏洞，但這一次卻很特別，因?yàn)樗粌H影響IE還波及到了Firefox。

微軟已經(jīng)聯(lián)手Mozilla共同解決該問題。為了保護(hù)用戶，Mozilla已經(jīng)禁用了WPF和其他有問題的插件。Firefox會(huì)自動(dòng)檢測這類禁用的插件，一旦發(fā)現(xiàn)就會(huì)提示用戶，如下圖所示：

用戶可以禁用該插件，但也可以忽略掉該警告。

微軟已經(jīng)發(fā)布了IE安全更新包（KB974455），一周前用戶就可以通過自動(dòng)更新下載這些安全包。雖然很多用戶已經(jīng)打上了補(bǔ)丁，但Mozilla仍堅(jiān)持要等到絕大多數(shù)的系統(tǒng)都打上補(bǔ)丁后才解禁WPF附加組件。下圖展示了禁用的WPF附加組件：

細(xì)心的用戶不難發(fā)現(xiàn)Firefox上另一個(gè)重要的附加組件AppleQuickTime插件也被禁用了。原因類似：遠(yuǎn)程代碼執(zhí)行（bug430826）。

一些用戶對Mozilla的做法提出了質(zhì)疑。BertrandLeRoy就說到：

這么做看起來沒什么問題，但你一定會(huì)問：下一次Flash如果也有安全漏洞的話，Mozilla會(huì)不會(huì)也禁用掉它呢？

MikeShaver回答到：

如果Adobe認(rèn)為這么做能夠解決漏洞問題我們就會(huì)這么做，或是提供一個(gè)”保險(xiǎn)箱“來部署更新。

Shaver說這么做是在與微軟進(jìn)行過深入討論后由Mozilla決定的。

【編輯推薦】

1. 谷歌發(fā)布Android安全漏洞補(bǔ)丁修復(fù)兩個(gè)DoS漏洞
2. 微軟緊急發(fā)布SMBv2安全漏洞補(bǔ)丁緩解風(fēng)險(xiǎn)
3. 360安全衛(wèi)士：打漏洞補(bǔ)丁防止微軟“黑屏”