Уязвимость обхода функции безопасности в Microsoft Browsers из-за некорректной обработки запросов перенаправления
Описание
Уязвимость обхода функции безопасности существует в Microsoft Browsers, когда они некорректно обрабатывают запросы перенаправления. Это позволяет обойти ограничения CORS на перенаправление и следовать запросам перенаправления, которые должны быть проигнорированы.
Злоумышленник, успешно использующий уязвимость, способен заставить браузер отправлять данные на целевой веб-сайт по своему выбору, которые в противном случае были бы ограничены.
Условия эксплуатации
В сценарии эксплуатации уязвимости на основе веб-атаки злоумышленник может разместить специально разработанный веб-сайт, который предназначен для использования уязвимости через Microsoft Browsers, и затем убедить пользователя посетить этот сайт. Злоумышленник также способен воспользоваться компрометированными веб-сайтами и сайтами, которые принимают или размещают пользовательский контент или рекламу. Эти веб-сайты могут содержать специально разработанный контент, способный использовать уязвимость.
Решение
Обновление безопасности устраняет уязвимость, изменяя способ обработки запросов перенаправления в затронутых версиях Microsoft Browsers.
Обновления
| Продукт | Статья | Обновление |
|---|---|---|
| Windows Server 2008 for Itanium-Based Systems Service Pack 2 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 | ||
| Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) | ||
| Windows 7 for 32-bit Systems Service Pack 1 | ||
| Windows 7 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) | ||
| Windows Server 2008 R2 for x64-based Systems Service Pack 1 | ||
| Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) | ||
| Windows Server 2012 |
Показывать по
Возможность эксплуатации
Publicly Disclosed
Exploited
Latest Software Release
Older Software Release
EPSS
5.4 Medium
CVSS3
Связанные уязвимости
Microsoft browsers on when Microsoft Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8.1, Windows RT 8.1, and Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allow a security feature bypass vulnerability when they improperly handle redirect requests, aka "Microsoft Browser Security Feature Bypass".
Microsoft browsers on when Microsoft Windows 7 SP1, Windows Server 2008 R2 SP1, Windows 8.1, Windows RT 8.1, and Windows Server 2012 and R2, Windows 10 Gold, 1511, 1607, and 1703, and Windows Server 2016 allow a security feature bypass vulnerability when they improperly handle redirect requests, aka "Microsoft Browser Security Feature Bypass".
EPSS
5.4 Medium
CVSS3