Обнаружена уязвимость в Microsoft, Twitter, LinkedIn и Yahoo

Обнаружена уязвимость в Microsoft, Twitter, LinkedIn и Yahoo

Брешь может позволить злоумышленникам проводить атаки фиксации сессии.

Исследователь безопасности Риши Наранг (Rishi Narang) обнаружил уязвимость, которую злоумышленники могут использовать для взлома учетных записей пользователей Microsoft, Twitter, LinkedIn и Yahoo. По словам эксперта, уязвимость, которая может позволить проведение атак фиксации сессии, вызвана ошибкой в управлении сессионными cookie. 

Если злоумышленники перехватят авторизационные cookie, они могут использовать их для взлома учетных записей, поскольку после истечения срока их действия cookie все равно остаются валидными, даже если пользователь завершил сессию работы с сайтом. 

По словам Наранга, авторизационный ID сессии доступен даже после ее завершения. Эксперт также сообщил, что имеются примеры, когда cookie доступны для взлома авторизированных сессий, причем этим cookie уже несколько дней или даже месяцев. В итоге, злоумышленники могут получить доступ к учетным записям пользователей, и даже если они будут многократно заходить в свои аккаунты и выходить из них, cookie будут оставаться действительными.

Риши Наранг добавил, что уязвимость не затронула учетные записи в Google и Facebook.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!