Программа:
Microsoft Forefront Threat Management Gateway Medium Business Edition
Microsoft ISA Server 2004
Microsoft ISA Server 2006
Найденные уязвимости позволяют удаленному злоумышленнику осуществить XSS
атаку и выполнить DoS атаку на целевую систему.
1) Уязвимость возникает из-за ошибки в движке файервола при обработке
состояния TCP сессии для принимающей стороны Web публикаций и Web прокси.
Атакующий может передать специально сформированный TCP пакет, что приведет к
тому, что принимающая сторона (Web listener) перестанет отвечать на новые
запросы.
2) Уязвимость возникает из-за ошибки в проверке входных данных в компоненте
аутентификации HTML форм cookieauth.dll. Атакующий может выполнить произвольный
сценарий в браузере жертвы в контексте безопасности уязвимого сайта. Успешное
эксплуатирование уязвимости требует, чтобы была включена функция Web publishing
и работала аутентификация HTML форм на Web listener.
Ссылка:
http://www.microsoft.com/technet/security/Bulletin/MS09-016.mspx
