شماره: IRCNE200912528
محققان يك آسيب پذيري امنيتي را در يكي از پر كاربردترين منابع تخصصي آنلاين يعنيMicrosoft’s TechNet كشف كرده اند. اين آسيب پذيري كه يك نقص امنيتي XSS يا Cross-site scripting است در قسمت TechNet Script Center Gallery وجود دارد.
متخصصان امنيتي به مايكروسافت خرده گرفته اند كه چرا حداقل از محصولات خودش استفاده نمي كند؟ در ماه سپتامبر مايكروسافت anti-XSS 3.1 را منتشر كرده بود و همچنين BinScope Binary Analyzer و MiniFuzz File Fuzzer نيز به عنوان بخشي از Microsoft’s SDL (Security Development Lifecycle) در اين زمينه قابل استفاده هستند.
بنا بر گزارشاتي كه SANS قبلاً منتشر كرده است آسيب پذيري هاي XSS بيشترين ميزان نقص هاي امنيتي مشاهده شده در برنامه هاي كاربردي تحت وب بعد از تزريق SQL مي باشند.
مايكروسافت بعد از انتشار كد فرصت طلب آسيب پذيري مذكور اعلام كرد:
" ما در مورد آسيب پذيري گزارش شده در TechNet مطلع شديم و بلافاصله تحقيقاتي را در اين مورد آغاز كريم. مهندسان ما تحقيقات را به پايان رسانده اند و آسيب پذيري مذكور را برطرف ساخته اند."
- 5