XBAP（XAMLBrowserApplication的簡稱）技術(shù)用于在Windows上創(chuàng)建RIA應(yīng)用。雖然從目的上來說，XBAP類似于Silverlight，但它可以創(chuàng)建重量級應(yīng)用，能夠利用.NET和XAML的所有功能，所創(chuàng)建的應(yīng)用可以運行在瀏覽器中。XBAP應(yīng)用具有擴展名.xbap并且運行在沙箱中，用戶只需點擊一下鼠標就能從本地系統(tǒng)或是網(wǎng)上將應(yīng)用加載到IE中。XBAP需要.NET3.0支持，并且只能運行在IE6-8上，但.NET3.5為Firefox安裝了一個名為”WindowsPresentationFoundation“（WPF）的插件以使Firefox用戶能夠運行XBAP應(yīng)用。

Mozilla工程部副主席MikeShaver說：今年7月有人發(fā)現(xiàn)并報告了.NETXABP組件中的一個安全漏洞，隨后微軟也在公告MS09-054中確認了該漏洞并將其標記為嚴重，微軟安全研究與預(yù)防組的博客上也對該漏洞進行了深入分析。根據(jù)微軟所述，惡意站點可以利用該漏洞在用戶機器上運行代碼。雖然過去也發(fā)現(xiàn)了很多漏洞，但這一次卻很特別，因為它不僅影響IE還波及到了Firefox。

微軟已經(jīng)聯(lián)手Mozilla共同解決該問題。為了保護用戶，Mozilla已經(jīng)禁用了WPF和其他有問題的插件。Firefox會自動檢測這類禁用的插件，一旦發(fā)現(xiàn)就會提示用戶，如下圖所示：

用戶可以禁用該插件，但也可以忽略掉該警告。

微軟已經(jīng)發(fā)布了IE安全更新包（KB974455），一周前用戶就可以通過自動更新下載這些安全包。雖然很多用戶已經(jīng)打上了補丁，但Mozilla仍堅持要等到絕大多數(shù)的系統(tǒng)都打上補丁后才解禁WPF附加組件。下圖展示了禁用的WPF附加組件：

細心的用戶不難發(fā)現(xiàn)Firefox上另一個重要的附加組件AppleQuickTime插件也被禁用了。原因類似：遠程代碼執(zhí)行（bug430826）。

一些用戶對Mozilla的做法提出了質(zhì)疑。BertrandLeRoy就說到：

這么做看起來沒什么問題，但你一定會問：下一次Flash如果也有安全漏洞的話，Mozilla會不會也禁用掉它呢？

MikeShaver回答到：

如果Adobe認為這么做能夠解決漏洞問題我們就會這么做，或是提供一個”保險箱“來部署更新。

Shaver說這么做是在與微軟進行過深入討論后由Mozilla決定的。

【編輯推薦】

1. 谷歌發(fā)布Android安全漏洞補丁修復(fù)兩個DoS漏洞
2. 微軟緊急發(fā)布SMBv2安全漏洞補丁緩解風險
3. 360安全衛(wèi)士：打漏洞補丁防止微軟“黑屏”