Risques
- Atteinte à la confidentialité des données
- Injection de code indirecte à distance
Systèmes affectés
- Microsoft Groover Server 2010.
- Microsoft SharePoint Foundation 2010 ;
- Microsoft SharePoint Server 2007 Service Pack 2 (éditions 32 bits) ;
- Microsoft SharePoint Server 2007 Service Pack 2 (éditions 64 bits) ;
- Microsoft Windows SharePoint Services 3.0 Service Pack 2 (versions 32 bits) ;
- Microsoft Windows SharePoint Sevices 3.0 Service Pack 2 (versions 64 bits) ;
Résumé
Des vulnérabilités de type injection de code indirecte affectent notamment Microsoft Share Point et Microsoft Share Point Services.
Description
Microsoft Share Point et Microsoft Share Point Services utilisent SafeHTML afin d'assainir le contenu de formulaires HTML. Une vulnérabilité dans ce composant permet à un utilisateur distant malintentionné de réaliser une attaque par injection de code indirecte (XSS). Cette attaque peut mener à une atteinte à la confidentialité des données.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Microsoft MS10-072 du 12 octobre 2010 http://www.microsoft.com/technet/security/Bulletin/MS10-072.mspx
- Référence CVE CVE-2010-3243 https://www.cve.org/CVERecord?id=CVE-2010-3243
- Référence CVE CVE-2010-3324 https://www.cve.org/CVERecord?id=CVE-2010-3324
