Ce patch élimine une faille de sécurité dans Microsoft Internet Information Server qui permettrait à un utilisateur malveillant de détourner session sécurisée Web d'un autre utilisateur dans un ensemble très restreint de circonstances.
IIS prend en charge l'utilisation d'un cookie de session pour suivre l'identificateur de session en cours pour une session Web. Cependant, ASP dans IIS ne supporte pas la création d'sécurisés des cookies d'ID de session tel que défini dans la RFC 2109. En conséquence, les pages sécurisées et non sécurisées sur le même site Web utilisent le même ID de session. Si un utilisateur a initié une session avec un page Web sécurisée, un cookie d'ID de session serait généré et envoyé à l'utilisateur, protégés par SSL. Mais si l'utilisateur est ensuite rendu à une page non sécurisée sur le même site, le même cookie d'ID de session serait échangée, cette fois en clair. Si un utilisateur malveillant avait un contrôle complet sur le canal de communication, il pouvait lire le texte en clair cookies ID de session et de l'utiliser pour se connecter à la session de l'utilisateur avec la page sécurisée. À ce moment, il ne pouvait prendre aucune action sur la page sécurisée que l'utilisateur pourrait prendre.
Les conditions dans lesquelles cette vulnérabilité pourrait être exploitée sont plutôt intimidant. L'utilisateur malveillant aurait besoin d'avoir un contrôle complet sur les communications de l'autre utilisateur avec le site Web. Même alors, l'utilisateur malveillant ne pouvait pas faire la connexion initiale à la page sécurisée; seul l'utilisateur légitime pouvait le faire. Le patch élimine la vulnérabilité en ajoutant le support pour la session sécurisée cookies d'identification dans les pages ASP. (Cookies sécurisés sont déjà pris en charge pour tous les autres types de cookies, en vertu de toutes les autres technologies dans IIS). .
Voir la FAQ pour plus d'informations
Exigences :
Windows NT 4.0, Internet Information Server 4.0
Commentaires non trouvées