Microsoft łata luki umożliwiające ataki XSS

We wrześniu gigant z Redmond opublikował zaledwie dwa biuletyny zabezpieczeń. Oba zostały oznaczone jako ważne. Skorzystanie z udostępnionych aktualizacji pozwoli zapobiec atakom cross-site scripting (XSS).

BIULETYNY WAŻNE

Biuletyn MS12-061

Pierwszy z wydanych w tym miesiącu biuletynów bezpieczeństwa usuwa lukę w oprogramowaniu Visual Studio Team Foundation Server 2010. Umożliwia ona podniesienie poziomu uprawnień, jeśli użytkownik otworzy link w wiadomości e-mail prowadzący do odpowiednio spreparowanej strony lub odwiedzi taką stronę bezpośrednio.
Informacje szczegółowe

Biuletyn MS12-062

Ta z kolei aktualizacja dotyczy aplikacji Microsoft System Center Configuration Manager i usuwa lukę, która - tak samo jak powyższa - pozwala na podniesienie poziomu uprawnień pod warunkiem, że użytkownik odwiedzi specjalnie przygotowaną stronę internetową. Podatność występuje w wersjach 2003 i 2007 wskazanego oprogramowania.
Informacje szczegółowe

Jak wspomniałem we wstępie, obie łatane luki mogą zostać wykorzystane podczas ataków XSS (ang. cross-site scripting), które - w uproszczeniu - polegają na wprowadzeniu złośliwego kodu w oryginalną treść strony internetowej.

Dokonuje się ich zwykle przy użyciu serwisów, w których zachodzi interakcja z użytkownikami lub też są wyświetlane dane pochodzące z zewnątrz - należą do nich np. fora internetowe, serwisy aukcyjne, sklepy internetowe z opcją komentowania i recenzowania produktów, systemy kont pocztowych dostępne przez protokół HTTP, otwarte systemy encyklopedyczne Wiki, moduły wyszukiwania itp. XSS pozwala atakującemu m.in. na kradzież wartości przechowywanych w ciasteczkach (ang. cookies), przekierowanie użytkownika na inną stronę, zainstalowanie w jego systemie konia trojańskiego lub po prostu sfałszowanie zawartości witryny.


Źródło: Microsoft, di24.pl