ไมโครซอฟท์ออกอัพเดทเพื่อแก้ปัญหาช่องโหว่ความปลอดภัยใน Microsoft SharePoint แล้ว
บทความโดย: Windows Administrator
สืบเนื่องจากการพบช่องโหว่ความปลอดภัยใน Microsoft SharePoint ไปก่อนหน้านี้ ล่าสุด (8 มิถุนายน 2553) ไมโครซอฟท์ออกอัพเดทหมายเลข MS10-039 เพื่อแก้ปัญหาดังกล่าวนี้แล้ว โดยอัพเดทตัวนี้จะทำการแก้ไขวิธีการตรวจสอบอินพุท (validates input) โดยการทำ HTTP query, การทำ sanitizes HTML content ของ toStaticHTML API และการจัดการ specially crafted requests ของหน้า Help
สำหรับสาเหตุที่ทำให้เกิดปัญหาช่องโหว่ความปลอดภัยใน Microsoft SharePoint ครั้งนี้ มี 2 ประเด็น ดังนี้
สาเหตุที่ 1:
เกิดจากช่องโหว่ความปลอดภัยซึ่งทำให้เกิดการเปิดเผยข้อมูล (information disclosure) ในการทำงานของ SharePoint toStaticHTML API sanitizes HTML ซึ่งแฮกเกอร์อาจจะใช้ในการโจมตีระบบแบบ cross-site scripting (XSS) ในกรณีที่การโจมตีประสบผลสำเร็จแฮกเกอร์สามารถทำการรันสคริปต์ในบริบทความปลอดภัยของผู้ใช้ที่ล็อกออนเข้าระบบ
สาเหตุที่ 2:
เกิดจากช่องโหว่ความปลอดภัย cross-site scripting ในไฟล์ Help.aspx ซึ่งแฮกเกอร์สามารถใช้โจมตีระบบโดยการหลอกให้ผู้ใช้รันสคริปต์ที่มีอันตรายแฝงอยู่ (malicious script) ในกรณีที่การโจมตีประสบผลสำเร็จแฮกเกอร์ก็จะสามารถแก้ไขข้อมูลในแคชของเว็บเบราเซอร์และของพร็อกซี่เซิร์ฟเวอร์ได้ นอกจากนี้แฮกเกอร์อาจจะใช้ทำการโจมตีระบบแบบ cross-site scripting (XSS) ได้อีกด้วย
ผลกระทบ
ช่องโหว่ความปลอดภัยนี้มีผลกระทบกับ Microsoft SharePoint ในชุดโปรแกรม Microsoft Office Software และ Windows SharePoint Services รายละเอียดดังนี้
Microsoft Office Software
• Microsoft Office SharePoint Server 2007 Service Pack 1 (32-bit editions)
• Microsoft Office SharePoint Server 2007 Service Pack 2 (32-bit editions)
• Microsoft Office SharePoint Server 2007 Service Pack 1 (64-bit editions)
• Microsoft Office SharePoint Server 2007 Service Pack 2 (64-bit editions)
Windows SharePoint Services
• Microsoft Windows SharePoint Services 3.0 Service Pack 1 (32-bit versions)
• Microsoft Windows SharePoint Services 3.0 Service Pack 2 (32-bit versions)
• Microsoft Windows SharePoint Services 3.0 Service Pack 1 (64-bit versions)
• Microsoft Windows SharePoint Services 3.0 Service Pack 2 (64-bit versions)
การติดตั้งอัพเดท
สำหรับผู้ที่ใช้ Microsoft SharePoint เวอร์ชันที่ได้รับผลกระทบ สามารถทำการอัพเดทจากเว็บไซต์ Microsoft Update หรือดาวน์โหลดมาติดตั้งเองจากเว็บไซต์ MS10-039: Vulnerabilities in Microsoft SharePoint Could Allow Elevation of Privilege (2028554)
แหล่งข้อมูลอ้างอิง
• Microsoft Security Advisory (983438)
© 2010 TWA Blog. All Rights Reserved.
Monday, June 14, 2010
Home »
Microsoft
,
Security
,
Security Update
» Microsoft Security Advisory (983438): Vulnerability in Microsoft SharePoint Could Allow Elevation of Privilege
0 Comment:
Post a Comment