Genfer Spezialisten warnen vor XSS-Lücke in SharePoint

3. Mai 2010, 09:31
  • security
  • cyberangriff
image

Der Genfer Sicherheitsspezialist "High-Tech Bridge" hat eine Cross-Site-Scripting-Lücke (XSS) in Microsofts SharePoint Server gefunden.

Der Genfer Sicherheitsspezialist "High-Tech Bridge" hat eine Cross-Site-Scripting-Lücke (XSS) in Microsofts SharePoint Server gefunden. Wie der Webseite der Genfer zu entnehmen ist, wurde die Sicherheitslücke bereits am 12.April entdeckt und an Microsoft gemeldet. Der amerikanische Softwarehersteller bestätigt die Lücke inzwischen in einem Security Advisory, hat allerdings noch keinen Software-Patch zur Behebung des Problems bereit.
Der Fehler betrifft eine fehlerhafte Filterung der Variable "cid0" im Script "/_layouts/help.aspx", welche ein Angreifer ausnutzen könnte. Schickt dieser einem legitimen SharePoint-Nutzer einen präparierten Link und klickt dieser darauf, kann sich der Angreifer die Nutzerrechte des SharePoint-Nutzers aneignen.
Von der Lücke betroffen sind nach Angaben von Microsoft alle Versionen von SharePoint Server 2007 sowie SharePoint Services 3.0, nicht jedoch ältere Versionen sowie die jüngste SharePoint-Version 2010. Bis zur Bereitstellung eines Patchs empfiehlt Microsoft, den Zugriff auf die Datei "help.aspx" zu unterbinden und liefert im Security Bulletin eine Anleitung dazu. Allerdings führt das dazu, dass keine Hilfefunktion auf SharePoint mehr zur Verfügung steht. (bt)

Loading

Mehr zum Thema

image

Zurich Film Festival – Ticketverkauf dank flexibler Standortvernetzung.

Heute ist das Zurich Film Festival (ZFF) das grösste Herbstfilm-Festival im deutschsprachigen Raum und ein Sprungbrett zu den Oscars. 2005 fand es zum ersten Mal statt.

image

TAP Portugal bestätigt den Klau von Passagierdaten

Nach dem Cyberangriff sind 600 Gigabyte an Daten der Airline veröffentlicht worden – auch von Schweizer Passagieren. Kunden werden vor möglichen Phishing-Angriffen gewarnt.

publiziert am 23.9.2022
image

Nach Angriff warnt Revolut vor Phishing-Kampagne

Bei einem Cyberangriff auf das Fintech-Unternehmen sollen sich Hacker Zugang zu zehntausenden Kundendaten verschafft haben. Revolut bestätigt den Abfluss von Daten.

publiziert am 22.9.2022
image

MFA kommt erst langsam in Firmen an

Die Zahl der Unternehmen, die Multifaktor-Authentifizierung für Angestellte implementieren, steigt einem Report von Thales zufolge nur langsam.

publiziert am 22.9.2022