XBAP（XAMLBrowserApplication的簡稱）技術用于在Windows上創建RIA應用。雖然從目的上來說，XBAP類似于Silverlight，但它可以創建重量級應用，能夠利用.NET和XAML的所有功能，所創建的應用可以運行在瀏覽器中。XBAP應用具有擴展名.xbap并且運行在沙箱中，用戶只需點擊一下鼠標就能從本地系統或是網上將應用加載到IE中。XBAP需要.NET3.0支持，并且只能運行在IE6-8上，但.NET3.5為Firefox安裝了一個名為”WindowsPresentationFoundation“（WPF）的插件以使Firefox用戶能夠運行XBAP應用。

Mozilla工程部副主席MikeShaver說：今年7月有人發現并報告了.NETXABP組件中的一個安全漏洞，隨后微軟也在公告MS09-054中確認了該漏洞并將其標記為嚴重，微軟安全研究與預防組的博客上也對該漏洞進行了深入分析。根據微軟所述，惡意站點可以利用該漏洞在用戶機器上運行代碼。雖然過去也發現了很多漏洞，但這一次卻很特別，因為它不僅影響IE還波及到了Firefox。

微軟已經聯手Mozilla共同解決該問題。為了保護用戶，Mozilla已經禁用了WPF和其他有問題的插件。Firefox會自動檢測這類禁用的插件，一旦發現就會提示用戶，如下圖所示：

用戶可以禁用該插件，但也可以忽略掉該警告。

微軟已經發布了IE安全更新包（KB974455），一周前用戶就可以通過自動更新下載這些安全包。雖然很多用戶已經打上了補丁，但Mozilla仍堅持要等到絕大多數的系統都打上補丁后才解禁WPF附加組件。下圖展示了禁用的WPF附加組件：

細心的用戶不難發現Firefox上另一個重要的附加組件AppleQuickTime插件也被禁用了。原因類似：遠程代碼執行（bug430826）。

一些用戶對Mozilla的做法提出了質疑。BertrandLeRoy就說到：

這么做看起來沒什么問題，但你一定會問：下一次Flash如果也有安全漏洞的話，Mozilla會不會也禁用掉它呢？

MikeShaver回答到：

如果Adobe認為這么做能夠解決漏洞問題我們就會這么做，或是提供一個”保險箱“來部署更新。

Shaver說這么做是在與微軟進行過深入討論后由Mozilla決定的。

【編輯推薦】

1. 谷歌發布Android安全漏洞補丁修復兩個DoS漏洞
2. 微軟緊急發布SMBv2安全漏洞補丁緩解風險
3. 360安全衛士：打漏洞補丁防止微軟“黑屏”