Security Lab

Внедрение в сессию целевого пользователя в Konqueror веб браузере

Дата публикации:19.09.2004
Дата изменения:17.10.2006
Всего просмотров:1023
Опасность:
Низкая
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Уязвимые версии: Konqueror 3.1.4

Программа: Konqueror 3.1.4

Опасность: Низкая

Наличие эксплоита: Нет Уязвимость обнаружена в KDE Konqueror. Удаленный пользователь может установить куки через небезопасный сервер, которые будут посланы безопасному серверу.

Браузер может послать небезопасные куки (которые установлены через http) к серверу через SSL. Удаленный пользователь способный подменить подключения или выполнить нападение “человек по середине”, может установить куки в браузере целевого пользователя, которые в последствии будут посланные браузером целевого пользователя к безопасному серверу. Уязвимость позволяет удаленному пользователю выполнить нападение “фиксации сессии”, чтобы внедрится в сессию целевого пользователя. Подробнее о нападении фиксации сессии можно узнать отсюда: http://www.securitylab.ru/_Article_Images/2004/session_fixation.pdf

URL производителя: http://www.kde.org/

Решение:Способов устранения обнаруженной уязвимости не существует в настоящее время.

Ссылки: http://www.westpoint.ltd.uk/advisories/wp-04-0001.txt