Patch en cours pour une faille exploitable de SharePoint
Qui ne touche pas l'édition 2010


Microsoft est en train de mettre les bouchées doubles pour colmater une faille découverte dans SharePoint.


Une alerte de sécurité vient d'ailleurs d'être publiée pour mettre en garde les utilisateurs de l'outil de collaboration contre une possible exploitation d'une faille zero-day. Le code de l'exploit en question aurait en effet été diffusé sur Internet..

Cette faille ne concerne cependant pas SharePoint 2010. Seuls Windows SharePoint Services 3.0 et SharePoint Server 2007 seraient touchés.

En attendant la sortie effective d'un patch, Microsoft décrit une solution provisoire qui consiste à désactiver le système d'aide de SharePoint pour bloquer l'attaque.

La vulnérabilité, si elle est effectivement exploitable, pourrait en revanche s'avérer moins dangereuse que prévue. Elle permet certes une attaque de type XSS (cross-scripting) mais elle demande également une part d'ingénierie sociale - autrement dit, amener un utilisateur de SharePoint à cliquer sur un lien HTML malicieux. Et même dans ce cas, d'autres étapes seraient nécessaires pour mettre en péril le système.

Là chose est néanmoins prise très au sérieux par Microsoft qui a réussi à reproduire le bug incriminé en interne. La faille a été découverte par une société suisse (High-Tech Bridge).

Un prochain avis de sécurité devrait proposer plus d'informations, notamment sur ce que les clients peuvent faire pour sécuriser leurs systèmes.

Nous vous en tiendrons bien évidemment informé(e)s

Lle premier Security Advisory est consultable ici.


Lire aussi :

Portail SharePoint, plus de 60 cours dont 7 sur SharePoint 2010

Les rubriques (actu, forums, tutos) de Développez :

SharePoint
Office