VulDB: Microsoft SharePoint bis 2010 SP1 scriptesx.ashx Cross Site Scripting
Allgemein
scipID: 5644
Betroffen: Microsoft SharePoint bis 2010 SP1
Veröffentlicht: 10.07.2012
Risiko: 
problematisch
Eintrag: 90.3% komplett
Erstellt: 11.07.2012
Aktualisiert: 03.09.2012
Beschreibung
In Microsoft SharePoint bis 2010 SP1 wurde eine problematische Schwachstelle entdeckt. Hiervon betroffen ist eine unbekannte Funktion der Datei scriptesx.ashx. Mittels dem Manipulieren mit einer unbekannten Eingabe kann eine Cross Site Scripting-Schwachstelle ausgenutzt werden. Dadurch kann man Programmcode ausführen. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit.
Die Schwachstelle wurde am 10.07.2012 als MS12-050 in Form eines Bulletins (Microsoft Technet) an die Öffentlichkeit getragen. Bereitgestellt wird das Advisory unter technet.microsoft.com. Die Veröffentlichung wurde in Zusammenarbeit mit dem Hersteller durchgeführt. Eine eindeutige Identifikation der Schwachstelle wird seit dem 22.03.2012 mit CVE-2012-1859 vorgenommen. Sie ist leicht ausnutzbar. Die Umsetzung des Angriffs kann dabei über das Netzwerk erfolgen. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Es sind sowohl technische Details als auch ein privater Exploit zur Schwachstelle bekannt.
Mittels inurl:scriptesx.ashx können durch Google Hacking potentiell verwundbare Systeme gefunden werden.
Die Schwachstelle lässt sich durch das Einspielen des Patches MS12-050 beheben. Dieser kann von technet.microsoft.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Microsoft hat demnach sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (83650) und Secunia (SA49875) dokumentiert. Ein Bericht in deutscher Sprache wird mitunter durch Heise bereitgestellt.CVSS
Base Score: 7.5 (CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
Exploiting
Klasse: Cross Site Scripting
Auswirkungen: Programmcode ausführen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Ja
Zugang: Privat
Google Hack: inurl:scriptesx.ashx
Gegenmassnahmen
Empfehlung: Patch
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Patch: MS12-050
Timeline
22.03.2012 | CVE zugewiesen
10.07.2012 | Advisory veröffentlicht
10.07.2012 | Gegenmassnahme veröffentlicht
10.07.2012 | OSVDB Eintrag erstellt
11.07.2012 | VulDB Eintrag erstellt
03.09.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: MS12-050
Koordiniert: Ja
OSVDB: 83650
CVE: CVE-2012-1859 (mitre.org) (nist.org) (cvedetails.com)
Secunia: 49875
Heise: 1636193
- Letzte Einträge
- Google Chrome Web Audio Handler Pufferüberlauf [CVE-2013-2845]
- Google Chrome Style Resolution Handler Pufferüberlauf [CVE-2013-2844]
- Google Chrome Speech Handler Pufferüberlauf [CVE-2013-2843]
- Google Chrome Widget Handler Pufferüberlauf [CVE-2013-2842]
- Google Chrome Pepper Resource Handler Pufferüberlauf [CVE-2013-2841]
- Statistiken
- Archiv
