近日，微軟安全應(yīng)急小組確認了微軟SharePoint Server 2007產(chǎn)品中的嚴重跨站腳本漏洞(XSS)的存在。

該漏洞可以通過瀏覽器被利用，使黑客通過漏洞程序執(zhí)行任意的JavaScript代碼。該漏洞的具體細節(jié)已經(jīng)被公布，微軟預(yù)計在本周末發(fā)布的安全報告上將 提供補丁修復(fù)這一漏洞。

下面是關(guān)于這個漏洞的一些細節(jié)：

該漏洞是沒有正確的處理“/_layouts/help.aspx”腳本，來清除用戶輸入的“cid0”變量。成功利用該漏洞的攻擊將導(dǎo)致應(yīng)用程序掛起，基于Cookies的信息將可能泄露，用戶敏感數(shù)據(jù)將可能遭到篡改。

攻擊者可以使用瀏覽器來利用這個漏洞。

在Twitter上，微軟表示他們已經(jīng)發(fā)現(xiàn)了這個漏洞，并且承諾會給受影響的用戶推送指導(dǎo)意見，詳見截圖：

這不是微軟SharePoint的第一起XSS安全漏洞事件。我們回溯到2007年，微軟就發(fā)布了一個“嚴重”級別的安全補丁來修復(fù)一個漏洞。該漏洞允許攻擊者執(zhí)行任意代碼，這將導(dǎo)致在一個SharePoint站點的權(quán)限提升。