Objet: Vulnérabilité dans Microsoft SharePoint

Risque

• Atteinte à l'intégrité des données ;
• atteinte à la confidentialité des données ;
• élévation de privilèges ;
• injection de code indirecte à distance.

Systèmes affectés

• Microsoft InfoPath 2007 Service Pack 2 ;
• Microsoft InfoPath 2007 Service Pack 3 ;
• Microsoft InfoPath 2010 (éditions 32 bits) ;
• Microsoft InfoPath 2010 Service Pack 1 (éditions 32 bits) ;
• Microsoft InfoPath 2010 (éditions 64 bits) ;
• Microsoft InfoPath 2010 Service Pack 1 (éditions 64 bits) ;
• Microsoft Office SharePoint Server 2007 Service Pack 2 (éditions 32 bits) ;
• Microsoft Office SharePoint Server 2007 Service Pack 3 (éditions 32 bits) ;
• Microsoft Office SharePoint Server 2007 Service Pack 2 (éditions 64 bits) ;
• Microsoft Office SharePoint Server 2007 Service Pack 3 (éditions 64 bits) ;
• Microsoft SharePoint Server 2010 ;
• Microsoft SharePoint Server 2010 Service Pack 1 ;
• Microsoft Groove Server 2010 ;
• Microsoft Groove Server 2010 Service Pack 1 ;
• Microsoft Windows SharePoint Services 3.0 Service Pack 2 (version 32 bits) ;
• Microsoft Windows SharePoint Services 3.0 Service Pack 2 (version 64 bits) ;
• Microsoft SharePoint Foundation 2010 ;
• Microsoft SharePoint Foundation 2010 Service Pack 1 ;
• Microsoft Office Web Apps 2010 ;
• Microsoft Office Web Apps 2010 Service Pack 1.

Résumé

Plusieurs vulnérabilités ont été corrigées dans divers produits Microsoft. Quatre (CVE-2012-1858, CVE-2012-1859, CVE-2012-1861, CVE-2012-1863) permettent à un utilisateur malveillant d'injecter indirectement du code à distance (XSS) dans le contexte de l'utilisateur piégé. Deux (CVE-2012-1860, CVE-2012-1862) concernent la divulgation, l'usurpation ou la modification d'informations sensibles.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

• Bulletin de sécurité Microsoft MS12-050 du 10 juillet 2012 :

  http://technet.microsoft.com/fr-fr/security/bulletin/MS12-050
  

  http://technet.microsoft.com/en-us/security/bulletin/MS12-050
  

• Référence CVE CVE-2012-1858 :

  https://www.cve.org/CVERecord?id=CVE-2012-1858
  

• Référence CVE CVE-2012-1859 :

  https://www.cve.org/CVERecord?id=CVE-2012-1859
  

• Référence CVE CVE-2012-1860 :

  https://www.cve.org/CVERecord?id=CVE-2012-1860
  

• Référence CVE CVE-2012-1861 :

  https://www.cve.org/CVERecord?id=CVE-2012-1861
  

• Référence CVE CVE-2012-1862 :

  https://www.cve.org/CVERecord?id=CVE-2012-1862
  

• Référence CVE CVE-2012-1863 :

  https://www.cve.org/CVERecord?id=CVE-2012-1863