XBAP(XAMLBrowserApplication的通称)技术性适用于在Windows上建立RIA运用。尽管从目地上而言,XBAP类似Silverlight,但它可以建立超重量级运用,可以利用.NET和XAML的全部作用,所建立的运用可以运作在网页中。XBAP运用具备后缀名.xbap而且运作在沙盒中,用户只需单击一下电脑鼠标就能从当地系统软件或者在网上将运用载入到IE中。XBAP必须.NET3.0适用,而且只有运转在IE6-8上,但.NET3.5为Firefox安裝了一个名叫”WindowsPresentationFoundation“(WPF)的插件以便Firefox用户可以运作XBAP运用。
Mozilla工程项目部副现任主席MikeShaver说:2022年7月有些人发觉并汇报了.NETXABP部件中的一个安全性漏洞,接着微软公司也在公示MS09-054中确定了该漏洞并将其标注为比较严重,微软公司安全性科学研究与防止组的blog上也对该漏洞开展了详细分析。依据微软公司上述,恶意站点可以利用该漏洞在用户设备上运行代码。尽管以往也看到了许多漏洞,但这一次却很尤其,因为它不仅仅危害IE还蔓延到到了Firefox。
微软公司早已联合Mozilla一同处理该问题。为了更好地维护用户,Mozilla早已禁用了WPF和别的有什么问题的插件。Firefox会自动识别这类禁用的插件,一旦发觉就会提醒用户,如下图所示:
用户可以禁用该插件,但还可以忽视掉该警示。
微软公司早已公布了IE安全补丁包(KB974455),一周前用户就可以根据自动升级免费下载这种安全性包。尽管许多用户早已打上补丁包,但Mozilla仍坚持不懈要直到绝大部分的系统软件都打上补丁包后才公开WPF额外部件。下面的图呈现了禁用的WPF额外部件:
仔细的用户不会太难发觉Firefox上另一个主要的额外部件AppleQuickTime插件也被禁用了。缘故相近:远程控制执行命令(bug430826)。
一些用户对Mozilla的作法明确提出了怀疑。BertrandLeRoy便说到:
那么做看上去没有什么问题,但你一定会问:下一次Flash假如也是有安全性漏洞得话,Mozilla是否会也禁用掉它呢?
MikeShaver回应到:
假如Adobe觉得那么做可以处理漏洞问题大家就会那么做,或者给予一个”保险柜“来布署升级。
Shaver说这样做是在与微软公司开展过深层次探讨后由Mozilla决策的。
【编辑推荐】