+- Windows 7 Forum: konfiguracja, optymalizacja, porady, gadżety • (https://windows7forum.pl)
+-- Dział: Inne (/inne-11-f)
+--- Dział: Microsoft (/microsoft-12-f)
+---- Dział: Biuletyny zabezpieczeń Microsoft (/biuletyny-zabezpieczen-microsoft-30-f)
+---- Wątek: Microsoft łata luki umożliwiające ataki XSS (/microsoft-lata-luki-umozliwiajace-ataki-xss-26582-t)
Microsoft łata luki umożliwiające ataki XSS - Portator - 13.09.2012 06:17
![[Obrazek: microsoft-logo-zaj.jpg]](http://www.komputerswiat.pl/media/2012/236/2526711/microsoft-logo-zaj.jpg){kind=logo}
We wrześniu gigant z Redmond opublikował zaledwie dwa biuletyny zabezpieczeń. Oba zostały oznaczone jako ważne. Skorzystanie z udostępnionych aktualizacji pozwoli zapobiec atakom cross-site scripting (XSS).
BIULETYNY WAŻNE
Biuletyn MS12-061
Pierwszy z wydanych w tym miesiącu biuletynów bezpieczeństwa usuwa lukę w oprogramowaniu Visual Studio Team Foundation Server 2010. Umożliwia ona podniesienie poziomu uprawnień, jeśli użytkownik otworzy link w wiadomości e-mail prowadzący do odpowiednio spreparowanej strony lub odwiedzi taką stronę bezpośrednio.
Informacje szczegółowe
Biuletyn MS12-062
Ta z kolei aktualizacja dotyczy aplikacji Microsoft System Center Configuration Manager i usuwa lukę, która - tak samo jak powyższa - pozwala na podniesienie poziomu uprawnień pod warunkiem, że użytkownik odwiedzi specjalnie przygotowaną stronę internetową. Podatność występuje w wersjach 2003 i 2007 wskazanego oprogramowania.
Informacje szczegółowe
Jak wspomniałem we wstępie, obie łatane luki mogą zostać wykorzystane podczas ataków XSS (ang. cross-site scripting), które - w uproszczeniu - polegają na wprowadzeniu złośliwego kodu w oryginalną treść strony internetowej.
Dokonuje się ich zwykle przy użyciu serwisów, w których zachodzi interakcja z użytkownikami lub też są wyświetlane dane pochodzące z zewnątrz - należą do nich np. fora internetowe, serwisy aukcyjne, sklepy internetowe z opcją komentowania i recenzowania produktów, systemy kont pocztowych dostępne przez protokół HTTP, otwarte systemy encyklopedyczne Wiki, moduły wyszukiwania itp. XSS pozwala atakującemu m.in. na kradzież wartości przechowywanych w ciasteczkach (ang. cookies), przekierowanie użytkownika na inną stronę, zainstalowanie w jego systemie konia trojańskiego lub po prostu sfałszowanie zawartości witryny.
Źródło: Microsoft, di24.pl