• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Уязвимость в UAG, позволяющая осуществить скрытое HTTP-перенаправление

Главная Специалистам База уязвимостей Уязвимость в UAG, позволяющая осуществить скрытое HTTP-перенаправление

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:N)
Производитель ПО
Наименование ПО
Microsoft Forefront UAG (2010 Service Pack 1, 2010 Service Pack 1 Update 1) Microsoft Updates (KB2649261, KB2649262)
Описание
Уязвимость подмены данных существует в Forefront Unified Access Gateway (UAG) и может привести к разглашению информации. Уязвимость позволяет злоумышленнику подменить данные, перенаправив адресованный UAG-серверу трафик на вредоносный веб-сайт. Для этого злоумышленник может отправить специально сформированную URL-ссылку пользователю UAG-сервера и убедить его перейти по этой ссылке. Когда пользователь UAG, который прошел аутентификацию, пытается перейти по ссылке, он перенаправляется на вредоносный сайт, который имитирует настоящий веб-интерфейс UAG. Эксплуатация данной уязвимости позволяет злоумышленнику обмануть пользователя и получить конфиденциальную информацию, например, учетные данные пользователя.
Как исправить
Используйте рекомендации производителя:
http://technet.microsoft.com/en-us/security/bulletin/ms12-026
Ссылки
MS (12-026): http://technet.microsoft.com/en-us/security/bulletin/ms12-026

Источник: CVE
Наименование: CVE-2012-0146
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0146