Da Jabulani Leffall
La vulnerabilità colpisce queste applicazioni è di elevazione dei privilegi implicazioni per le organizzazioni. Un utente malintenzionato può utilizzare un cross-site scripting (XSS) tecnica di "eseguire script arbitrari" che possono portare l'attaccante a guadagnare diritti di accesso su un sito Web che esegue SharePoint, secondo la consulenza.
Cross-site scripting è la pratica di incorporare script maligno in una pagina Web in grado di eseguire quando gli utenti visitano la pagina. In questo caso, l'utente visita una pagina di SharePoint Intranet. Tuttavia, è stata una preoccupazione con altri prodotti Microsoft. Questo ultimo advisory arriva pochi giorni dopo che Microsoft ha detto che prevede di fissare un buco di sicurezza XSS in internet Explorer 8 .
Tali attacchi iniziano tipicamente tramite un URL "appositamente predisposto" inviato in un messaggio e-mail o IM che indirizza l'utente a un sito Web con lo script dannosi. Lo script può permettere all'attaccante di ottenere i diritti stessa rete dell'utente.
Microsoft prevede di rilasciare un aggiornamento di sicurezza per risolvere la vulnerabilità. Nel frattempo, il testo del documento contiene una soluzione che descrive misure per limitare l'accesso a "SharePoint help.aspx file XML." Limitare l'accesso a questi file impedisce lo sfruttamento di questa vulnerabilità, secondo la consulenza.
Internet Explorer 8 dispone di un filtro XSS che è attivata per impostazione predefinita, anche se il filtro ha ironicamente un difetto - essere fissato nel mese di giugno - che può consentire attacchi XSS. Detto questo, Chenxi Wang, analista di sicurezza e gestione del rischio di Forrester Research, ritiene che gli utenti non dovrebbero sconto le funzioni di prevenzione XSS in IE 8 con riguardo alla questione di SharePoint.
"Il fatto che la [cross-site scripting filtro] introduce un ulteriore vulnerabilità è un peccato ma a volte è un fatto della vita", ha detto. "Ogni volta che si introduce una nuova funzionalità, si introduce la possibilità di nuove vulnerabilità a causa della complessità della scrittura software corretto."
Corso SQL Server - Corso Hyper-V -Corso Windows Server –
Nessun commento:
Posta un commento
Nota. Solo i membri di questo blog possono postare un commento.