上周四晚，微軟發布了安全公告，警告SharePoint用戶一種新的SharePoint零日漏洞，該漏洞允許特權提升。

微軟響應通信部門經理Jerry Bryant表示，微軟沒有發現任何主動攻擊試圖利用該漏洞。跨站點腳本（XSS）漏洞會影響SharePoint Server 2007和SharePoint Services 3.0。驗證的概念代碼是公開的。該漏洞可進行基于瀏覽器的攻擊。

微軟表示，用戶可以通過向SharePoint Help.aspx XML文件中添加一個訪問控制列表來限制訪問。但是，微軟表示，其解決辦法是禁用SharePoint服務器中所有的幫助功能。

微軟表示，Internet Explorer 8客戶端的服務器受攻擊的風險較小。IE 8包含一個在Internet區域中，可以阻止攻擊的XSS過濾器。

根據一家總部設在瑞士的安全公司High-Tech Bridge SA稱，SharePoint漏洞可以讓攻擊者在易受攻擊的應用程序上執行JavaScript代碼。該公司表示，它已在4月12日通知微軟該漏洞。

該公司發出警告說，“這個漏洞的成功利用可能導致應用程序遭到破壞、基于cookie的認證憑據被盜竊、敏感數據被泄露或修改。”

【編輯推薦】

1. 微軟稱最新的IE零日漏洞攻擊只針對IE6
2. Win7再曝零日漏洞微軟稱正在調查(附測試代碼)