跨站脚本攻击另微软不得不再修复IE8漏洞 – Windows7之家,Win7之家

Win7之家:微软:新BUG使SharePoint平台面临风险

Win7之家:跨站脚本攻击另微软不得不再修复IE8漏洞

针对微软Windows平台的勒索病毒在全球肆虐,为了应对防范风险,苹果公司在5月15日升级了旗下多个操作系统,修补了多个软件漏洞。

5月3日消息,据国外媒体报道称,微软警告用户称,新发现一处缺陷可能使SharePoint平台面临受到攻击的风险。

研究人员Eduardo Vela Nava和David
Lindsay上个星期在黑帽会议上演示了黑客如何利用IE8的跨站脚本过滤器对本来应该有免疫能力的网站实施的攻击。跨站脚本过滤器是微软去年发布的IE8测试版中的一项反恶意软件功能。这个演示促使微软决定更新IE8浏览器。研究人员称,容易受到这种攻击的网站包括微软自己的Bing搜索引擎、
Digg、Google、Twitter、Wiki百科等许多网站。

据美国科技新闻网站ZDNET报道,5月15日,苹果先后升级了针对iPhone、iPad和Mac的操作系统,在推出的iOS
10.3.2中一共提供了23个安全补丁;并在macOS
10.12.5新版本中另外发布了30个修复程序。

微软表示,SharePoint Server 2007和SharePoint Services
3.0组件可能受到跨站点脚本攻击,但目前还没有利用该缺陷的攻击的报告。成功利用该缺陷的黑客能够以提升后的权限访问SharePoint网站。

这两位研究人员称,IE8使用一种“中性化”技术阻止跨站脚本攻击的企图,问题是攻击者能够为自己的目的操作这种机制。他们在黑帽会议上发表的论文称,攻击者能够利用这种行为阻止客户端安全功能发挥作用。在某种情况下,这会导致在跨站脚本攻击。

据测试,目前中国用户已能通过系统进行软件更新。

微软建议为SharePoint
Help.aspx文件设置一个访问控制列表,阻止非授权用户访问可能受到攻击的组件。但是,这一措施将使受影响的SharePoint网站的所有用户无法使用帮助功能。另外,IE
8浏览器中的跨站点脚本攻击保护功能也有助于阻止这类攻击。

虽然微软在今年1月和3月发布的应急补丁MS10-002和MS10-018中已经处理了Vela
Nava和Lindsay提出的一些攻击情况,但是,微软本周一称,它会发布一个跨站脚本过滤器更新软件以阻止另一个可能的攻击途径。

图片 1

微软称,该公司正在开发补丁软件,计划5月份发布补丁软件下载。

微软安全响应中心的一位工程师David
Ross在博客中称,这种变化将解决黑帽欧盟会议上演示的一种脚本标签攻击情况。与安全补丁不同的是,IE8浏览器的跨站脚本过滤器一般是动态更新的并且是在后台更新的。但是,微软发言人本周二说,微软计划在6月份发布这个补丁而不是立即发布这个补丁是为了给企业一些时间进行测试。

在这些系统漏洞中,iOS版iBooks中的两个错误可能允许黑客任意打开网站并执行恶意代码。在苹果浏览器的内核引擎WebKit中发现了十几个缺陷,当它们在iPhone和iPad上呈现网站和页面时,可能允许多种跨站点脚本攻击。

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

*
*
Website