PDA

Visualizza versione completa : Security Opera stucca un buco, SharePoint a rischio XSS



Asterix
04-05-10, 08: 23
http://img121.imageshack.us/img121/6471/operasharepoint.pngOpera Software ha rilasciato un aggiornamento per il proprio browser che corregge una vulnerabilità pericolosa. Microsoft ha invece avvisato che SharePoint è vulnerabile

Roma - Lo scorso fine settimana Opera Software ha reso disponibile una versione aggiornata del proprio browser, la 10.53, che sistema alcune vulnerabilità di sicurezza sia in Windows che in Mac OS X.

Tra le falle corrette dall'update ce n'è una (http://www.opera.com/support/kb/view/953/) che l'azienda norvegese definisce "di gravità estrema". Il bug è contenuto in uno script che modifica il contenuto dei documenti: chiamate multiple al componente vulnerabile possono causare il crash del browser e consentire a un aggressore di eseguire del codice a distanza. "Per iniettare il codice sono necessarie ulteriori tecniche di cracking" sottolinea però Opera Software.

Di recente ha pubblicato un advisory di sicurezza (http://www.microsoft.com/technet/security/advisory/983438.mspx) anche Microsoft, nel quale segnala la presenza di una vulnerabilità di tipo cross-site scripting (XSS) in Windows SharePoint Services 3.0 e Office SharePoint Server 2007.
"La dinamica di attacco è un po' articolata, poiché richiede di convincere la vittima a cliccare su un link fornito di script che sarebbe in grado di essere eseguito con i privilegi dell'utente già loggato sullo sharepoint preso di mira - spiega Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia, in questo post (http://blogs.technet.com/feliciano_intini/archive/2010/04/30/microsoft-security-advisory-983438-su-sharepoint.aspx)sul suo blog - "In ogni caso non si ha notizia di attacchi attivi e si invita gli amministratori di siti Sharepoint ad applicare le contromisure temporanee (workaround) indicati nell'advisory (nella sezione Suggested actions), in attesa del rilascio dell'aggiornamento correttivo".

Intini aggiunge poi che gli utenti che utilizzano Internet Explorer 8 sono immuni al problema, grazie al filtro XSS incluso in questo browser.

Alessandro Del Rosso
Punto-Informatico (http://www.punto-informatico.it)
http://punto-informatico.it/images/ccpi.png (http://creativecommons.org/licenses/by-nc-sa/2.5/it/)