• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уязвимость перенаправления в .NET Form Authentication

Главная Специалистам База уязвимостей Уязвимость перенаправления в .NET Form Authentication

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Microsoft .NET Framework (2.0 SP2, 3.5 SP1, 3.5.1, 4.0) Microsoft Updates (KB2656351, KB2656352, KB2656356, KB2656362, KB2657424, KB2836940, KB2836942, KB2858302, KB2861697, KB2901110, KB2901111, KB2901113, KB2931352, KB2931354, KB2931356, KB2931365, KB2937608, KB2972211, KB2972212, KB2972214, KB2972215, KB2973112, KB3037572, KB3037573, KB3037574, KB3037577, KB3037578, KB3037581, KB3098778)
Описание
Уязвимость подмены данных существует в .NET Framework и связана с проверкой возвращаемых URL во время процесса аутентификации форм. В случае успешной эксплуатации уязвимости злоумышленник сможет незаметно перенаправить пользователя на любой сайт. После этого злоумышленник может провести атаку фишинга и получить конфиденциальные данные пользователя. Эта уязвимость не дает злоумышленнику возможности напрямую выполнить код или повысить свои привилегии, но она может использоваться для получения важных данных.
Как исправить
Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-100
Ссылки
Источник: CVE
Наименование: CVE-2011-3415
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3415

MS (MS11-100): http://technet.microsoft.com/en-us/security/bulletin/MS11-100