近日，微軟安全應急小組確認了微軟SharePoint Server 2007產品中的嚴重跨站腳本漏洞(XSS)的存在。

該漏洞可以通過瀏覽器被利用，使黑客通過漏洞程序執行任意的JavaScript代碼。該漏洞的具體細節已經被公布，微軟預計在本周末發布的安全報告上將 提供補丁修復這一漏洞。

下面是關于這個漏洞的一些細節：

該漏洞是沒有正確的處理“/_layouts/help.aspx”腳本，來清除用戶輸入的“cid0”變量。成功利用該漏洞的攻擊將導致應用程序掛起，基于Cookies的信息將可能泄露，用戶敏感數據將可能遭到篡改。

攻擊者可以使用瀏覽器來利用這個漏洞。

在Twitter上，微軟表示他們已經發現了這個漏洞，并且承諾會給受影響的用戶推送指導意見，詳見截圖：

這不是微軟SharePoint的第一起XSS安全漏洞事件。我們回溯到2007年，微軟就發布了一個“嚴重”級別的安全補丁來修復一個漏洞。該漏洞允許攻擊者執行任意代碼，這將導致在一個SharePoint站點的權限提升。