L'avis de sécurité a été publié par Microsoft la semaine dernière. Pour l'heure, il n'a pas fait l'objet d'une mise à jour. C'est donc le signe qu'a priori la vulnérabilité découverte dans SharePoint ne fait pas encore l'objet d'attaques actives. Mais pour combien de temps ?
Sur la brèche, Microsoft travaille à l'élaboration d'un correctif. Ladite vulnérabilité affecte SharePoint Services 3.0 et SharePoint Server 2007. Son exploitation permet à un attaquant d'exécuter un script arbitraire avec le risque d'une " élévation de privilèges dans le site SharePoint ".
La vulnérabilité a été découverte par High-Tech Bridge qui tient un discours un peu plus alarmiste, d'autant que Microsoft a été prévenu le 12 avril 2010 et que la faille a depuis fait l'objet d'une divulgation publique.
Selon cette société suisse, un utilisateur peut exécuter du code JavaScript arbitraire via l'application vulnérable. Cette exploitation peut conduire à la compromission de l'application, au vol du cookie d'authentification, à la divulgation ou à la modification de données sensibles. Est-ce à dire que les données d'un intranet d'une entreprise sont potentiellement en danger ?
L'attaque s'effectue dans le contexte du serveur avec pour cible le navigateur d'un utilisateur qui doit cliquer sur un lien malveillant. C'est notamment pourquoi Microsoft conseille l'utilisation d'Internet Explorer 8 avec l'activation du filtre XSS, notamment dans la zone intranet alors qu'il n'y est pas activé par défaut. Microsoft recommande également aux administrateurs de restreindre l'accès aux pages Help.aspx SharePoint.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.