据国外媒体报道,日前漏洞实验室的专家正在忙着帮助微软公司修复一些严重的漏洞,这些漏洞影响了微软提供的两类服务,其中最重要的安全漏洞是持续性脚本代码注入漏洞,这个漏洞被发现存在于微软合作伙伴网络云服务中。
为了证明自己的发现,这些专家制作了一个视频,展示了攻击者如何利用微软云aspx服务中的持续性脚本代码注入漏洞来执行其恶意代码。这个视频中的主角就是该实验室的首席执行官Benjamin Kunz Mejri。这个漏洞允许远程攻击者或者本地低级别用户账户注入或者执行恶意代码。攻击成功后会导致会话劫持。
微软合作伙伴网络云服务并不是唯一一个被发现有漏洞的服务。该公司的Afkar服务同样被发现存在跨站脚本漏洞,该漏洞能够让远程攻击者劫持用户会话,并且操作文本。
