Microsoft: 'Cross-Site Scripting is nog altijd een veelvoorkomende kwetsbaarheid'

In dit artikel:

Microsoft waarschuwt dat Cross‑Site Scripting (XSS) ondanks z’n leeftijd nog steeds veel voorkomt in eigen diensten, zowel in oudere systemen als in nieuw ontwikkelde apps. Het Microsoft Security Response Center (MSRC) behandelt over de periode juli 2024–juli 2025 dat 15% van alle kritieke meldingen verband hield met XSS. In totaal werden 265 XSS‑kwetsbaarheden opgepakt; 263 daarvan kregen een hoge prioriteit en twee werden als kritiek bestempeld.

Voor meldingen betaalde Microsoft gezamenlijk 912.300 dollar aan bugbounties. Voor de ernstigste gevallen – zoals kwetsbaarheden waarmee tokens geroofd kunnen worden of die zero‑click‑aanvallen mogelijk maken – werd tot 20.000 dollar uitgekeerd. Rapporten kwamen via een breed scala aan Microsoft‑programma’s binnen, waaronder Copilot, Microsoft 365, Dynamics 365 & Power Platform, Identity, Azure en Xbox bounty‑programma’s.

Microsoft benadrukt dat niet alle XSS‑fouten hetzelfde risico vormen; prioritering gebeurt op basis van factoren als misbruikmogelijkheden, gevoeligheid van betrokken data, benodigde gebruikersinteractie en daadwerkelijke impact in de praktijk. Kort gezegd: ondanks dat XSS al decennia bekend is, blijft het een belangrijke aanvalsvector die actief monitoring, patching en gerichte beloningen vereist om klanten te beschermen.