近日，微軟安全應(yīng)急小組確認(rèn)了微軟SharePoint Server 2007產(chǎn)品中的嚴(yán)重跨站腳本漏洞(XSS)的存在。

該漏洞可以通過瀏覽器被利用，使黑客通過漏洞程序執(zhí)行任意的JavaScript代碼。該漏洞的具體細(xì)節(jié)已經(jīng)被公布，微軟預(yù)計(jì)在本周末發(fā)布的安全報(bào)告上將 提供補(bǔ)丁修復(fù)這一漏洞。

下面是關(guān)于這個(gè)漏洞的一些細(xì)節(jié)：

該漏洞是沒有正確的處理“/_layouts/help.aspx”腳本，來清除用戶輸入的“cid0”變量。成功利用該漏洞的攻擊將導(dǎo)致應(yīng)用程序掛起，基于Cookies的信息將可能泄露，用戶敏感數(shù)據(jù)將可能遭到篡改。

攻擊者可以使用瀏覽器來利用這個(gè)漏洞。

在Twitter上，微軟表示他們已經(jīng)發(fā)現(xiàn)了這個(gè)漏洞，并且承諾會(huì)給受影響的用戶推送指導(dǎo)意見，詳見截圖：

這不是微軟SharePoint的第一起XSS安全漏洞事件。我們回溯到2007年，微軟就發(fā)布了一個(gè)“嚴(yán)重”級(jí)別的安全補(bǔ)丁來修復(fù)一個(gè)漏洞。該漏洞允許攻擊者執(zhí)行任意代碼，這將導(dǎo)致在一個(gè)SharePoint站點(diǎn)的權(quán)限提升。