Der Genfer Sicherheitsspezialist "High-Tech Bridge" hat eine Cross-Site-Scripting-Lücke (XSS) in Microsofts SharePoint Server gefunden. Wie der Webseite der Genfer zu entnehmen ist, wurde die Sicherheitslücke bereits am 12.April entdeckt und an Microsoft gemeldet. Der amerikanische Softwarehersteller bestätigt die Lücke inzwischen in einem Security Advisory, hat allerdings noch keinen Software-Patch zur Behebung des Problems bereit.

Der Fehler betrifft eine fehlerhafte Filterung der Variable "cid0" im Script "/_layouts/help.aspx", welche ein Angreifer ausnutzen könnte. Schickt dieser einem legitimen SharePoint-Nutzer einen präparierten Link und klickt dieser darauf, kann sich der Angreifer die Nutzerrechte des SharePoint-Nutzers aneignen.

Von der Lücke betroffen sind nach Angaben von Microsoft alle Versionen von SharePoint Server 2007 sowie SharePoint Services 3.0, nicht jedoch ältere Versionen sowie die jüngste SharePoint-Version 2010. Bis zur Bereitstellung eines Patchs empfiehlt Microsoft, den Zugriff auf die Datei "help.aspx" zu unterbinden und liefert im Security Bulletin eine Anleitung dazu. Allerdings führt das dazu, dass keine Hilfefunktion auf SharePoint mehr zur Verfügung steht. (bt)