Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
Microsoft .NET Framework
(2.0 SP2, 3.5 SP1, 3.5.1, 4.0)
Microsoft Updates
(KB2656351, KB2656352, KB2656356, KB2656362, KB2657424, KB2836940, KB2836942, KB2858302, KB2861697, KB2901110, KB2901111, KB2901113, KB2931352, KB2931354, KB2931356, KB2931365, KB2937608, KB2972211, KB2972212, KB2972214, KB2972215, KB2973112, KB3037572, KB3037573, KB3037574, KB3037577, KB3037578, KB3037581, KB3098778)
Описание
Уязвимость подмены данных существует в .NET Framework и связана с проверкой возвращаемых URL во время процесса аутентификации форм. В случае успешной эксплуатации уязвимости злоумышленник сможет незаметно перенаправить пользователя на любой сайт. После этого злоумышленник может провести атаку фишинга и получить конфиденциальные данные пользователя. Эта уязвимость не дает злоумышленнику возможности напрямую выполнить код или повысить свои привилегии, но она может использоваться для получения важных данных.
Как исправить
Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/MS11-100
http://technet.microsoft.com/en-us/security/bulletin/MS11-100
Ссылки
Источник: CVE
Наименование: CVE-2011-3415
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3415
MS (MS11-100): http://technet.microsoft.com/en-us/security/bulletin/MS11-100
Наименование: CVE-2011-3415
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3415
MS (MS11-100): http://technet.microsoft.com/en-us/security/bulletin/MS11-100