[English readers: you can find English links in this post for your convenience]

E’ stato pubblicato il “Microsoft Security Advisory (983438) - Vulnerability in Microsoft SharePoint Could Allow Elevation of Privilege” per segnalare la conoscenza e relativa analisi in corso di una vulnerabilità di tipo cross-site scripting (XSS) su Microsoft Windows SharePoint Services 3.0 e Microsoft Office SharePoint Server 2007. La dinamica di attacco è un po’ articolata, poiché richiede di convincere la vittima a cliccare su un link fornito di script che sarebbe in grado di essere eseguito con i privilegi dell’utente già loggato sullo sharepoint preso di mira. In ogni caso non si ha notizia di attacchi attivi e si invita gli amministratori di siti Sharepoint ad applicare le contromisure temporanee (workaround) indicati nell’advisory (nella sezione Suggested actions), in attesa del rilascio dell’aggiornamento correttivo.

Grazie alla presenza del filtro XSS, gli utenti con IE8 sono protetti da questo attacco se avviene nella zona Internet (poichè in questa zona il filtro è attivo by-default, mentre va abilitato esplicitamente nella zona Intranet).

 

Feliciano

Other related posts/resources: