|
2月8日,微软安全中心发布了2月漏洞安全公告:MS05-006危害等级为“中等”,请广大用户尽快到微软官方网站下载微软最新补丁。
编号:MS05-0006
名称:Windows SharePoint Services 和 SharePoint Team Services 中的漏洞可能允许跨站点脚本 和欺骗攻击
KB编号:887981
等级:中等
安全更新替代:无
漏洞描述:
这是一个跨站点脚本和欺骗漏洞。 跨站点脚本漏洞可能允许攻击者诱使用户运行恶意脚本。 如果运行此恶意脚本,该脚本将在用户的安全上下文中执行。 要试图利用此漏洞,需要进行用户交互。 此漏洞可能允许攻击者访问受影响系统上只有个别用户才能访问的某些数据。
攻击者也可能会利用此漏洞来更改 Web 浏览器缓存和中间代理服务器缓存,并将欺骗内容放在这些缓存中。
受影响的软件:
• Windows SharePoint Services – 下载此更新 (KB887981)
• Microsoft SharePoint Team Services – 4BCB-8EB3-AD74B576038C" target="_blank"class="mn">下载此更新 (KB890829) – 下载此完整文件更新(KB890829)
SharePoint Team Services 用户:Office XP Web 组件的 Office XP Service Pack 2 和 SharePoint Team Services 的 Office XP Service Pack 3 都存在此漏洞。 但是 Office XP Web 组件的 Office XP Service Pack 2 的安全更新仅作为 Office XP 完整文件安全更新的一部分提供。 有关详细信息,请参阅“安全更新信息”部分。
严重等级和漏洞标识:
| 漏洞标识 |
漏洞的影响 |
Windows SharePoint Services |
Microsoft SharePoint Team Services |
跨站点脚本和欺骗漏洞 - CAN-2005-0049
|
远程执行代码
|
中等 |
中等 |
减轻影响的方式:
• 成功利用此跨站点脚本漏洞的攻击者也只能获得与该用户相同的权限。
将欺骗内容放在用户的 Web 浏览器缓存中的缓解因素:
• 如果用户将 Internet Explorer 中的高级 Internet 选项不将加密的页存盘打开,并且通过安全套接字层 (SSL) 协议来访问其网站,则用户不会因为将欺骗内容放在用户缓存中而受到威胁。
将欺骗内容放在中间代理服务器缓存中的缓解因素
• 如果用户使用 SSL 保护的连接来访问网站,则不会因为将欺骗内容放在中间代理服务器缓存中而受到威胁。 这是因为 SSL 会话数据是加密的,并且没有缓存在中间代理服务器中。
• 即使成功将欺骗内容放在中间代理服务器缓存中,攻击者也可能很难预测哪些用户将使用缓存的欺骗内容。
• 要试图利用此漏洞,攻击者必须能够登录到受影响的网站。 如果您不允许匿名访问您的网站,则只有经过验证的用户能够试图利用此漏洞。
|
