Описание
Уязвимость существует в CFNetwork в Apple iOS, Apple OS X и Apple TV из-за отсутствия проверки полноты передачи HTTP-заголовка Set-Cookie перед интерпретацией его значения. Эксплуатация данной уязвимости позволяет злоумышленникам, действующим удаленно, обойти ограничения доступа, закрыв TCP-соединение при передаче заголовка; как, например, в случае с ограничением HTTPOnly.
Вендор
Наименование ПО
Версия ПО
Тип ПО
Операционные системы и аппаратные платформы
Уровень опасности уязвимости
Возможные меры по устранению уязвимости
Статус уязвимости
Наличие эксплойта
Информация об устранении
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
4.3 Medium
CVSS2
Связанные уязвимости
CFNetwork in Apple iOS before 7.1.1, Apple OS X through 10.9.2, and Apple TV before 6.1.1 does not ensure that a Set-Cookie HTTP header is complete before interpreting the header's value, which allows remote attackers to bypass intended access restrictions by triggering the closing of a TCP connection during transmission of a header, as demonstrated by an HTTPOnly restriction.
CFNetwork in Apple iOS before 7.1.1, Apple OS X through 10.9.2, and Apple TV before 6.1.1 does not ensure that a Set-Cookie HTTP header is complete before interpreting the header's value, which allows remote attackers to bypass intended access restrictions by triggering the closing of a TCP connection during transmission of a header, as demonstrated by an HTTPOnly restriction.
EPSS
4.3 Medium
CVSS2