Une faille exploitable dans SharePoint
Est en train d'être colmatée par Microsoft, elle ne touche pas la version 2010

Le , par Gordon Fowler, Expert éminent sénior
Microsoft est en train de mettre les bouchées doubles pour colmater une faille découverte dans SharePoint.

Une alerte de sécurité vient d'ailleurs d'être publiée pour mettre en garde les utilisateurs de l'outil de collaboration contre une possible exploitation d'une faille zero-day. Le code de l'exploit en question aurait en effet été diffusé sur Internet..

Cette faille ne concerne cependant pas SharePoint 2010. Seuls Windows SharePoint Services 3.0 et SharePoint Server 2007 seraient touchés.

En attendant la sortie effective d'un patch, Microsoft décrit une solution provisoire qui consiste à désactiver le système d'aide de SharePoint pour bloquer l'attaque.

La vulnérabilité, si elle est effectivement exploitable, pourrait en revanche s'avérer moins dangereuse que prévue. Elle permet certes une attaque de type XSS (cross-scripting) mais elle demande également une part d'ingénierie sociale - autrement dit, amener un utilisateur de SharePoint à cliquer sur un lien HTML malicieux. Et même dans ce cas, d'autres étapes seraient nécessaires pour mettre en péril le système.

Là chose est néanmoins prise très au sérieux par Microsoft qui a réussi à reproduire le bug incriminé en interne. La faille a été découverte par une société suisse (High-Tech Bridge).

Un prochain avis de sécurité devrait proposer plus d'informations, notamment sur ce que les clients peuvent faire pour sécuriser leurs systèmes.

Nous vous en tiendrons bien évidemment informé(e)s

Lle premier Security Advisory est consultable ici.

Lire aussi :

Portail SharePoint, plus de 60 cours dont 7 sur SharePoint 2010

Les rubriques (actu, forums, tutos) de Développez :

SharePoint
Office


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
développer app iOS
PS Consulting - Ile de France - Paris (75000)
Développeur java h/f
ID Soft - Centre - Orléans (45000)
Chef de projet marketing mobile h/f
AD4SCREEN - Ile de France - Paris (75002)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil