上周四晚，微軟發(fā)布了安全公告，警告SharePoint用戶一種新的SharePoint零日漏洞，該漏洞允許特權(quán)提升。

微軟響應(yīng)通信部門經(jīng)理Jerry Bryant表示，微軟沒(méi)有發(fā)現(xiàn)任何主動(dòng)攻擊試圖利用該漏洞。跨站點(diǎn)腳本（XSS）漏洞會(huì)影響SharePoint Server 2007和SharePoint Services 3.0。驗(yàn)證的概念代碼是公開(kāi)的。該漏洞可進(jìn)行基于瀏覽器的攻擊。

微軟表示，用戶可以通過(guò)向SharePoint Help.aspx XML文件中添加一個(gè)訪問(wèn)控制列表來(lái)限制訪問(wèn)。但是，微軟表示，其解決辦法是禁用SharePoint服務(wù)器中所有的幫助功能。

微軟表示，Internet Explorer 8客戶端的服務(wù)器受攻擊的風(fēng)險(xiǎn)較小。IE 8包含一個(gè)在Internet區(qū)域中，可以阻止攻擊的XSS過(guò)濾器。

根據(jù)一家總部設(shè)在瑞士的安全公司High-Tech Bridge SA稱，SharePoint漏洞可以讓攻擊者在易受攻擊的應(yīng)用程序上執(zhí)行JavaScript代碼。該公司表示，它已在4月12日通知微軟該漏洞。

該公司發(fā)出警告說(shuō)，“這個(gè)漏洞的成功利用可能導(dǎo)致應(yīng)用程序遭到破壞、基于cookie的認(rèn)證憑據(jù)被盜竊、敏感數(shù)據(jù)被泄露或修改?！?/P>

【編輯推薦】

1. 微軟稱最新的IE零日漏洞攻擊只針對(duì)IE6
2. Win7再曝零日漏洞微軟稱正在調(diào)查(附測(cè)試代碼)