Уязвимость обнаружена в Microsoft Internet Explorer (IE). Удаленный пользователь может установить куки на произвольных доменах как часть нападения фиксации сессии. 

Удаленный Web сервер может установить куки в браузере целевого пользователя для некоторых доменов первого уровня, чтобы заставить IE послать куки при подключении любому другому Web сервер в этом же домене. Уязвимы домены, которые имеют более 2х символов во второй части доменного имения, кроме доменов в зонах com, net, mil, org, gov, edu, или int. Пример уязвимых доменов: ‘.ltd.uk’, ‘.plc.uk’, ‘sch.uk’, ‘.nhs.uk’, ‘.police.uk’, и ‘.mod.uk’. 

Уязвимость позволяет удаленному пользователю выполнить нападение “фиксации сессии”, чтобы внедрится в сессию целевого пользователя. Удаленный пользователь способный подменить подключения или выполнить нападение
MIM, может установить куки в браузере целевого пользователя, которые в последствии будут посланные браузером целевого пользователя к безопасному серверу.



Оставить мнение