CVE-2019-1172

Опубликовано: 13 авг. 2019

Источник: msrc

CVSS3: 4.3

EPSS Низкий

Уязвимость утечки информации в Azure Active Directory (AAD) и Microsoft Account (MSA) во время сеанса запроса на вход

Описание

Злоумышленник, успешно воспользовавшийся уязвимостью, способен захватить учетную запись пользователя.

Условия эксплуатации

Для эксплуатации уязвимости злоумышленник должен обманом заставить пользователя перейти на специально созданный веб-сайт, позволяя украсть токен пользователя.

Решение

Обновление безопасности устраняет уязвимость, корректируя способ, которым MSA обрабатывает файлы cookie.

Часто задаваемые вопросы (FAQ)

Какой тип информации может быть раскрыт из-за этой уязвимости?

Жертва может автоматически загрузить внешний контент, что способно передать информацию злоумышленнику.

Обновления

Продукт	Статья	Обновление
Windows 8.1 for 32-bit systems	4512488 4512489	Monthly Rollup Security Only
Windows 8.1 for x64-based systems	4512488 4512489	Monthly Rollup Security Only
Windows Server 2012 R2	4512488 4512489	Monthly Rollup Security Only
Windows RT 8.1	4512488	-
Windows Server 2012 R2 (Server Core installation)	4512488 4512489	Monthly Rollup Security Only
Windows 10 for 32-bit Systems	4512497	Security Update
Windows 10 for x64-based Systems	4512497	Security Update
Windows Server 2016	4512517	Security Update
Windows 10 Version 1607 for 32-bit Systems	4512517	Security Update
Windows 10 Version 1607 for x64-based Systems	4512517	Security Update

Показывать по

Возможность эксплуатации

Publicly Disclosed

Exploited

Latest Software Release

Exploitation Less Likely

Older Software Release

Exploitation Less Likely

DOS

N/A

EPSS

Процентиль: 91%

0.065

Низкий

4.3 Medium

CVSS3

Связанные уязвимости

CVE-2019-1172

CVSS3: 4.3

nvd

почти 6 лет назад

An information disclosure vulnerability exists in Azure Active Directory (AAD) Microsoft Account (MSA) during the login request session. An attacker who successfully exploited the vulnerability could take over a user's account. To exploit the vulnerability, an attacker would have to trick a user into browsing to a specially crafted website, allowing the attacker to steal the user's token. The security update addresses the vulnerability by correcting how MSA handles cookies.

GHSA-2x5x-xqr8-2jhv

CVSS3: 4.3

github

около 3 лет назад

An information disclosure vulnerability exists in Azure Active Directory (AAD) Microsoft Account (MSA) during the login request session, aka 'Windows Information Disclosure Vulnerability'.

BDU:2019-02986

CVSS3: 4.3

fstec

почти 6 лет назад

Уязвимость облачной службы управления удостоверениями и доступом Azure Active Directory (AAD) операционной системы Windows, позволяющая нарушителю получить доступ к учетной записи пользователя

EPSS

Процентиль: 91%

0.065

Низкий

4.3 Medium

CVSS3