微軟警告SharePoint Server有XSS安全漏洞

微軟周四（4/29）發表一安全建議，警告SharePoint Server 2007及SharePoint Services 3.0含有一XSS安全漏洞，並提出權宜建議。

相關漏洞是由瑞士的安全顧問公司High-Tech Bridge率先提出，表示SharePoint Server 2007未能正確處理特定變數的輸入值而造成安全漏洞，駭客可透過瀏覽器攻擊該漏洞，以在系統中執行任意程式。網路上已出現相關漏洞的概念性驗證程式。

根據微軟的說明，該跨站腳本攻擊（cross-site scripting，XSS）漏洞可藉以提高駭客在SharePoint上的權限，目前尚未收到實際攻擊報告。

微軟建議SharePoint Server 2007或SharePoint Services 3.0的客戶限制外界存取SharePoint help.aspx檔案，以及在內部網路中啟用IE8 XXS過濾機制以降低風險。（編譯/陳曉莉）