MS14-073 - 重要- Microsoft SharePoint Foundation 中的資訊安全風險可能會允許權限提高
受影響軟體：
Microsoft SharePoint Server 2010 Service Pack 2

影響狀況：
此資訊安全更新可解決 Microsoft SharePoint Server 中一項未公開報告的資訊安全風險。成功利用此資訊安全風險且經過驗證的攻擊者，能在目前的 SharePoint 網站上以使用者的權限層級執行任意程式碼。在網頁式攻擊案例中，攻擊者可能架設一個為了利用這些資訊安全風險而蓄意製作的網站，然後引誘使用者檢視該網站。攻擊者也可能利用受侵害的網站，以及接受或裝載使用者提供內容或廣告的網站。這些網站可能含有蓄意製作以利用此類資訊安全風險的內容。但是，攻擊者無法強迫使用者檢視受攻擊者控制的內容，而是引誘使用者自行前往。一般的做法是設法讓使用者點選電子郵件訊息或 Instant Messenger 中通往攻擊者網站的連結，或設法讓他們開啟經由電子郵件傳送的附件。

弱點說明：
SharePoint 權限提高資訊安全風險 - CVE-2014-4116
當 SharePoint Server 未正確清理 SharePoint 清單中的頁面內容時，就會存在權限提高的資訊安全風險。成功利用此資訊安全風險並經過驗證的攻擊者，可在已登入使用者的資訊安全內容中執行任意程式碼。Microsoft 是經由協同合作的來源接獲有關此資訊安全風險的訊息。本資訊安全公告發行時，Microsoft 尚未接到任何有關本資訊安全風險已公開用來攻擊客戶的消息。此資訊安全更新可修正 SharePoint Server 清理 SharePoint 行動瀏覽器檢視中所修改清單的方式，進而解決此資訊安全風險。

解決方案：
請使用受影響系統的用戶，可利用Windows Auto Update或是連上Microsoft Update網站儘速進行安全性更新。

Reference
https://technet.microsoft.com/zh-tw/library/security/MS14-073