Microsoft advarer om åbent sår i Sharepoint

Microsofts portal-software Sharepoint indeholder en sårbarhed, der kan udnyttes til at give den angribende part forøgede rettigheder på et Sharepoint-site.

Det skriver Microsoft i en sikkerheds-meddelelse om sårbarheden, som endnu ikke er blevet lukket.

Sårbarheden findes i Windows SharePoint Services 3.0 og Office SharePoint Server 2007, oplyser Microsoft.

Der er tale om en sårbarhed af den meget udbredte cross-site-scripting-type (XSS), som betyder, at angriberen vil kunne afvikle scripts med skadelig kode på et Sharepoint-site.

Der skulle ikke være risiko for, at angriberen kan opnå øgede rettigheder i styresystem på hverken den angrebne pc eller på serveren.

Ifølge Microsoft kan sikkerhedshullet typisk udnyttes til at sende ondsindede links med indlejret kode til intetanende brugere, der er logget ind på Sharepoint-serveren. Klikker brugeren på linket, vil angriberens kodestump blive udført.

Ifølge Microsoft er brugere af Internet Explorer 8 mindre udsatte for sårbarheden, da browseren automatisk har slået et XSS-filter til. Filteret er dog ikke slået til som udgangspunkt for den lokale intranet-zone, hvilket kan gøres under browserindstillingerne.

Læs Microsofts oplysninger om sikkerhedshullet under fanebladet Eksterne links.