微软调查SharePoint2007零日攻击漏洞

在瑞士一家公司突然发布可能用于攻击的代码之后,微软正忙于修复其SharePoint 2007群件中的一个零日攻击安全漏洞。

安全顾问公司High-Tech Bridge说,它在4月12日向微软披露了这个安全漏洞。本周三发布这个概念证明代码距离通知微软的时间刚好过去了两个星期。

虽然微软没有对这个安全漏洞的严重性说什么,但是,安全专家担心黑客可能利用这个安全漏洞窃取SharePoint用户的敏感的企业信息。SharePoint用户使用这种软件制作门户网站和内部项目中进行协作。

High-Tech Bridge发现微软SharePoint软件中有一个跨网站脚本安全漏洞。如果攻击者能够让SharePoint用户点击一个链接,这个安全漏洞就能够让攻击者控制用户的账户。

High-Tech Bridge在发布这个代码的时候说,成功地利用这个安全漏洞能够导致攻破应用程序,窃取基于Cookie的身份识别证书,泄露和修改敏感的数据。

微软安全计划经理Jerry Bryant在电子邮件中说,微软在自己的内部系统中已经再现了这个安全漏洞并且正在制定一个安全公告,其中包括通知用户这个安全漏洞以及用户保证自己系统安全的方法。