SharePoint 2007にXSSの脆弱性、MSがTwitterで報告 - ITmedia エンタープライズ(情報元のブックマーク数)
MSがSharepoint2007のクロスサイトスクリプティングの脆弱性が存在することをTwitterで公表のこと。
セキュリティアドバイザリももうすぐ出る見込み。
米Microsoftのセキュリティ対策センターは4月29日、SharePoint 2007にクロスサイトスクリプティング(XSS)問題が発覚したことをTwitterで明らかにした。現在準備中のアドバイザリーで、回避策などを紹介するとしている。
SharePoint 2007にXSSの脆弱性、MSがTwitterで報告 - ITmedia エンタープライズ
セキュリティメーリングリストのBugtraqに掲載された情報によれば、この問題を悪用された場合、アプリケーションを制御されたり、cookieベースの認証情報を盗まれたりするという。重要データの流出・改ざんにつながる恐れがある。
MSさんからもBlogで情報が出てますねぇ。
SharePoint に関連する特権の昇格の脆弱性情報が一般に公開されたことを受け、2010/04/30 にセキュリティ アドバイザリ 983438 を公開しました。現在調査を行っていますが、Microsoft Windows SharePoint Services 3.0 および Microsoft Office SharePoint Server 2007 が影響し、クロスサイト スクリプティング (XSS) の脆弱性によりSharePoint サイト内で特権の昇格が起こる可能性があるというものです。
SharePoint の脆弱性 (アドバイザリ 983438 を公開) – 日本のセキュリティチーム
Microsoft Windows SharePoint Services 3.0 および Microsoft Office SharePoint Server 2007をご使用の場合、セキュリティ アドバイザリ 983438 に記載の回避策を実施することをお勧めします。これは、SharePoint Help.aspxへのアクセスを制限する、もしくは、Internet Explorer 8 の XSS フィルターをイントラネットで有効にする、などがあげられます。(インターネット ゾーンについては、Internet Explorer 8 の XSSフィルターは既定でこの攻撃の実行を防ぎます。イントラネット ゾーンについては、手動で有効にする必要があります。)
関連URL
- Security Research & Defense : Sharepoint XSS issue
- Microsoft SharePointにクロスサイトスクリプティングの脆弱性 - Zero Day - ZDNet Japan
- SharePoint 2007にXSSの脆弱性、MSがTwitterで報告 - ITmedia エンタープライズ
- SharePoint 2007にXSSの脆弱性、MSがTwitterで報告 - ITmedia エンタープライズ
- Microsoft SharePointにクロスサイトスクリプティングの脆弱性 - Zero Day - ZDNet Japan
- Sunbelt Blog: Microsoft reissues MS10-025
- Sharepoint XSS Vulnerability
- MS、SharePointの脆弱性問題でアドバイザリー公開 - ITmedia エンタープライズ
- US-CERT Current Activity