Introduzione
Alcune librerie jQuery in uso da Dynamics presentano vulnerabilità note che consentono attacchi xSS (Cross-site scripting). In questo articolo viene affrontato l'utilizzo di queste librerie da parte di Dynamics e se queste vulnerabilità sono presenti nelle versioni più recenti di Dynamics 365 (locale).
Informazioni sulla versione
Librerie jQuery con vulnerabilità identificate utilizzate dalle versioni di Microsoft Dynamics 365 (locale) elencate:
jQuery versione 2.1.1 jQuery.ui versione 1.8.21
Versioni di Microsoft Dynamics 365 che utilizzano le librerie sopra esaminate per questa valutazione della vulnerabilità:
Microsoft Dynamics 365 versioni 8.2.2.0112 e successive Microsoft Dynamics CRM versioni 7.1.2.1032 e successive
Valutazione delle vulnerabilità
Per le versioni di Dynamics 365 valutate, l'utilizzo out-of-the-box delle funzioni vulnerabili nelle librerie di cui sopra è sicuro. Anche se le librerie sono in uso a seconda della build esatta dei prodotti, queste vulnerabilità note non possono essere utilizzate.
Microsoft Dynamics 365 sfrutta le versioni di diramazione stabile di jQuery, incluse 3.x, 2.x e 1.x. Sebbene esistano rischi associati a funzionalità specifiche all'interno della libreria, tutti gli utilizzi di jQuery sono stati ampiamente esaminati nel processo Microsoft SDL e abbiamo garantito che i metodi vulnerabili non siano in uso. I processi che utilizzano queste librerie jQuery eseguiranno questa operazione fino a quando non vengono resi obsoleti (deprecati) dal prodotto.
Ulteriori informazioni
Le informazioni relative alle vulnerabilità jQuery possono essere trovate di seguito:
Vulnerabilità XSS vulnerabilità in closeText dell'opzione di dialogo jQuery UI Titolo XSS Vulnerability in jQuery.UI.Dialog jQuery.UI Changelog per la versione 1.12.0 Listing Vulnerabilities