Microsoft łata luki umożliwiające ataki XSS - Wersja do druku +- Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • (https://windows7forum.pl) +-- Dział: Inne (/inne-11-f) +--- Dział: Microsoft (/microsoft-12-f) +---- Dział: Biuletyny zabezpieczeń Microsoft (/biuletyny-zabezpieczen-microsoft-30-f) +---- Wątek: Microsoft łata luki umożliwiające ataki XSS (/microsoft-lata-luki-umozliwiajace-ataki-xss-26582-t) |
Microsoft łata luki umożliwiające ataki XSS - Portator - 13.09.2012 06:17 We wrześniu gigant z Redmond opublikował zaledwie dwa biuletyny zabezpieczeń. Oba zostały oznaczone jako ważne. Skorzystanie z udostępnionych aktualizacji pozwoli zapobiec atakom cross-site scripting (XSS). BIULETYNY WAŻNE Biuletyn MS12-061 Pierwszy z wydanych w tym miesiącu biuletynów bezpieczeństwa usuwa lukę w oprogramowaniu Visual Studio Team Foundation Server 2010. Umożliwia ona podniesienie poziomu uprawnień, jeśli użytkownik otworzy link w wiadomości e-mail prowadzący do odpowiednio spreparowanej strony lub odwiedzi taką stronę bezpośrednio. Informacje szczegółowe Biuletyn MS12-062 Ta z kolei aktualizacja dotyczy aplikacji Microsoft System Center Configuration Manager i usuwa lukę, która - tak samo jak powyższa - pozwala na podniesienie poziomu uprawnień pod warunkiem, że użytkownik odwiedzi specjalnie przygotowaną stronę internetową. Podatność występuje w wersjach 2003 i 2007 wskazanego oprogramowania. Informacje szczegółowe Jak wspomniałem we wstępie, obie łatane luki mogą zostać wykorzystane podczas ataków XSS (ang. cross-site scripting), które - w uproszczeniu - polegają na wprowadzeniu złośliwego kodu w oryginalną treść strony internetowej. Dokonuje się ich zwykle przy użyciu serwisów, w których zachodzi interakcja z użytkownikami lub też są wyświetlane dane pochodzące z zewnątrz - należą do nich np. fora internetowe, serwisy aukcyjne, sklepy internetowe z opcją komentowania i recenzowania produktów, systemy kont pocztowych dostępne przez protokół HTTP, otwarte systemy encyklopedyczne Wiki, moduły wyszukiwania itp. XSS pozwala atakującemu m.in. na kradzież wartości przechowywanych w ciasteczkach (ang. cookies), przekierowanie użytkownika na inną stronę, zainstalowanie w jego systemie konia trojańskiego lub po prostu sfałszowanie zawartości witryny. Źródło: Microsoft, di24.pl |