Microsoft warnt vor XSS-Leck in Sharepoint

BrowserSicherheitSicherheitsmanagementSoftwareWorkspace

In einem Security Advisory warnt Microsoft vor einer Cross-Site-Scripting-Lücke im Sharepoint Server 2007 und den Sharepoint Services 3.0.

Laut dem Security Advisory kann das Leck genutzt werden, um Skripte mit den Rechten des Sharepoint-Nutzers auszuführen. Dieser muss nur dazu bewegt werden, auf einen manipulierten Link auf einer Website oder in einer E-Mail zu klicken. Der Fehler liegt wohl in der Help.aspx, denn als Workaround empfiehlt Microsoft, den Zugriff auf diese Datei zu unterbinden.

Ein Proof-of-Concept für das Leck wurde am Mittwoch auf Bugtraq veröffentlicht, Microsoft zufolge wird es aber noch nicht ausgenutzt.  Zudem weist der Software-Konzern darauf hin, dass das Risiko bei Nutzern des Internet Explorers 8 geringer sei, da hier der XSS-Filter solche Attacken unterbinden sollte. (Daniel Dubsky)