SharePoint victime d'une faille critique

Le par  |  0 commentaire(s)
microsoft_logo

Microsoft travaille à l'élaboration d'un correctif de sécurité afin de combler une faille affectant son outil de collaboration pour les entreprises : SharePoint.

microsoft_logoL'avis de sécurité a été publié par Microsoft la semaine dernière. Pour l'heure, il n'a pas fait l'objet d'une mise à jour. C'est donc le signe qu'a priori la vulnérabilité découverte dans SharePoint ne fait pas encore l'objet d'attaques actives. Mais pour combien de temps ?

Sur la brèche, Microsoft travaille à l'élaboration d'un correctif. Ladite vulnérabilité affecte SharePoint Services 3.0 et SharePoint Server 2007. Son exploitation permet à un attaquant d'exécuter un script arbitraire avec le risque d'une " élévation de privilèges dans le site SharePoint ".

La vulnérabilité a été découverte par High-Tech Bridge qui tient un discours un peu plus alarmiste, d'autant que Microsoft a été prévenu le 12 avril 2010 et que la faille a depuis fait l'objet d'une divulgation publique.

Selon cette société suisse, un utilisateur peut exécuter du code JavaScript arbitraire via l'application vulnérable. Cette exploitation peut conduire à la compromission de l'application, au vol du cookie d'authentification, à la divulgation ou à la modification de données sensibles. Est-ce à dire que les données d'un intranet d'une entreprise sont potentiellement en danger ?

L'attaque s'effectue dans le contexte du serveur avec pour cible le navigateur d'un utilisateur qui doit cliquer sur un lien malveillant. C'est notamment pourquoi Microsoft conseille l'utilisation d'Internet Explorer 8 avec l'activation du filtre XSS, notamment dans la zone intranet alors qu'il n'y est pas activé par défaut. Microsoft recommande également aux administrateurs de restreindre l'accès aux pages Help.aspx SharePoint.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]