Nieuws
image

Microsoft waarschuwt voor SharePoint XSS-lek

vrijdag 30 april 2010, 10:57 door Redactie, 4 reacties

Microsoft waarschuwt beheerders van een SharePoint server voor een Cross-Site Scripting-lek (XSS), waardoor aanvallers de rechten van ingelogde gebruikers kunnen krijgen. De kwetsbaarheid is aanwezig in SharePoint Server 2007 en SharePoint Services 3.0. Om het lek te misbruiken moet een aanvaller een URL met een script naar een SharePoint-gebruiker sturen. Als die de link opent, wordt het script met dezelfde rechten als de ingelogde gebruiker op de SharePoint site uitgevoerd. Het is niet mogelijk om inloggegevens van gebruikers te stelen, aangezien SharePoint HttpOnly authentication cookies gebruikt.

Servers lopen minder risico als gebruikers Internet Explorer 8 gebruiken, aangezien het XSS-filter in de browser het probleem in de internet zone voorkomt. Volgens Microsoft wordt het lek nog niet actief door aanvallers misbruikt. Toch werkt de softwaregigant aan een update die het probleem moet oplossen. In de tussentijd kunnen beheerders toegang tot het kwetsbare Help.aspx beperken. Dat voorkomt misbruik van het lek, maar zorgt er wel voor dat de help-functionaliteit wordt uitgeschakeld.

Reacties (4)
30-04-2010, 11:43 door [Account Verwijderd]
[Verwijderd]
30-04-2010, 12:18 door Anoniem
nou dan wordt het gewoon grondig tijd om de sharepoint server software onder de loep te nemen,en er een patch voor uit te brangen die deze lekken dicht.
30-04-2010, 12:23 door spatieman
was er niet iets met IE8 en een XSS lek ?
30-04-2010, 12:30 door Anoniem
Door spatieman: was er niet iets met IE8 en een XSS lek ?
Als ik me niet vergis konden aanvallers met behulp van javascript door een bug in het XSS filter in IE XSS uitvoeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search