W najbliższy wtorek, 11 maja, Microsoft zamierza wydać jedynie dwie aktualizacje zabezpieczeń, które mają załatać luki w Windows i w pakiecie Office, a także w oprogramowaniu Visual Basic for Applications.
W najbliższy wtorek, 11 maja, Microsoft zamierza wydać jedynie dwie aktualizacje zabezpieczeń, które mają załatać luki w Windows i w pakiecie Office, a także w oprogramowaniu Visual Basic for Applications.
Problemy
Według oceny Microsoftu za krytyczne można uznać jedynie błędy w Windows i VBA. Wprawdzie usterka w systemie operacyjnym znajduje się także w Windows 7 i Serverze 2008. ale zdaniem producenta nie da się jej wykorzystać w standardowej instalacji.
Luka pozwalająca na ataki typu Cross-Site Scripting (XSS) w SharePoincie pozostaje w dalszym ciągu niezałatana. Za jej pomocą napastnicy mogą odczytywać uwierzytelniające cookies, manipulować kontem użytkownika albo uzyskiwać dostęp do poufnych danych. Aby stać się ofiarą ataku, trzeba jednak kliknąć zmanipulowany odnośnik.
Według Microsoftu błąd nie występuje w powiązaniu z Internet Explorerem 8. ponieważ tam filtr zabezpieczający przed XSS rozpoznaje i uniemożliwia atak.
Rozwiązanie
Wspomniane problemy (poza luką XSS) wyeliminuje instalacja uaktualnień.
Obejście
Do czasu przygotowania patcha dla usterki XSS w SharePoincie producent zaleca uniemożliwienie dostępu do nieprawidłowego skryptu. W tym celu administratorzy muszą wykonać na serwerze SharePointa następujące polecenia:
cacls "%ProgramFiles%\Common Files\Microsoft Shared\Web Server
Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N
cacls "%ProgramFiles(x86)%\Common Files\Microsoft Shared\Web Server
Extensions\12\TEMPLATE\LAYOUTS\Help.aspx" /E /P everyone:N
wydanie internetowe www.heise-online.pl
