Microsoft łata luki umożliwiające ataki XSS

12-09-2012, 19:23

We wrześniu gigant z Redmond opublikował zaledwie dwa biuletyny zabezpieczeń. Oba zostały oznaczone jako ważne. Skorzystanie z udostępnionych aktualizacji pozwoli zapobiec atakom cross-site scripting (XSS).

BIULETYNY WAŻNE

Biuletyn MS12-061

Pierwszy z wydanych w tym miesiącu biuletynów bezpieczeństwa usuwa lukę w oprogramowaniu Visual Studio Team Foundation Server 2010. Umożliwia ona podniesienie poziomu uprawnień, jeśli użytkownik otworzy link w wiadomości e-mail prowadzący do odpowiednio spreparowanej strony lub odwiedzi taką stronę bezpośrednio.

(szczegółowe informacje)

Biuletyn MS12-062

Ta z kolei aktualizacja dotyczy aplikacji Microsoft System Center Configuration Manager i usuwa lukę, która - tak samo jak powyższa - pozwala na podniesienie poziomu uprawnień pod warunkiem, że użytkownik odwiedzi specjalnie przygotowaną stronę internetową. Podatność występuje w wersjach 2003 i 2007 wskazanego oprogramowania.

(szczegółowe informacje)

Zobacz także biuletyny bezpieczeństwa z poprzedniego miesiąca

Sonda
Czy instalujesz aktualizacje wkrótce po ich udostępnieniu przez producenta systemu lub programu?
  • Tak
  • Nie
wyniki  komentarze

Jak wspomniałam we wstępie, obie łatane luki mogą zostać wykorzystane podczas ataków XSS (ang. cross-site scripting), które - w uproszczeniu - polegają na wprowadzeniu złośliwego kodu w oryginalną treść strony internetowej.

Dokonuje się ich zwykle przy użyciu serwisów, w których zachodzi interakcja z użytkownikami lub też są wyświetlane dane pochodzące z zewnątrz - należą do nich np. fora internetowe, serwisy aukcyjne, sklepy internetowe z opcją komentowania i recenzowania produktów, systemy kont pocztowych dostępne przez protokół HTTP, otwarte systemy encyklopedyczne Wiki, moduły wyszukiwania itp. XSS pozwala atakującemu m.in. na kradzież wartości przechowywanych w ciasteczkach (ang. cookies), przekierowanie użytkownika na inną stronę, zainstalowanie w jego systemie konia trojańskiego lub po prostu sfałszowanie zawartości witryny.


Źródło: Microsoft, di24.pl
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Listopad 2020»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
30