Microsoft Internet Explorer COOKIE覆盖漏洞

漏洞信息详情

Microsoft Internet Explorer COOKIE覆盖漏洞

• CNNVD编号：CNNVD-200412-297
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2004-1527
  
• 漏洞类型：
  
  
  设计错误
  
• 发布时间：
  
  2004-11-15
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2005-10-20
  
• 厂        商：
  
  microsoft
• 漏洞来源：
  Keigo Yamazaki※ sn…

Microsoft Internet Explorer是一款流行的WEB浏览器。
Microsoft Internet Explorer在接收COOKIE时没有正确检查部分字符串，远程攻击者可以利用这个漏洞覆盖目标系统上的部分COOKIE。
由于对部分字符串缺少正确检查，在接收到特殊构建的路径属性的COOKIE时，Internet Explorer可能覆盖其他站所有的COOKIE。
成功利用此漏洞，攻击者可以劫持WEB会话，以其他用户身份登陆站点。

临时解决方法：
如果您不能立刻安装补丁或者升级，CNNVD建议您采取以下措施以降低威胁：

* 当接收COOKIE时，在Internet选项里设置对话框提示，对那些”/”开头的COOKIE进行阻止。
厂商补丁：
Microsoft
———
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/windows/ie/default.asp” target=”_blank”>
http://www.microsoft.com/windows/ie/default.asp

来源: www.lac.co.jp
链接:http://www.lac.co.jp/business/sns/intelligence/SNSadvisory_e/79_e.html

来源: SECUNIA
名称: 13208
链接:http://secunia.com/advisories/13208

来源: XF
名称: ie-path-cookie-overwrite(18073)
链接:http://xforce.iss.net/xforce/xfdb/18073

来源: BID
名称: 11680
链接:http://www.securityfocus.com/bid/11680

来源: BUGTRAQ
名称: 20041115 [SNS Advisory No.79] A Possibility of Cookie Overwrite in Microsoft Internet Explorer
链接:http://marc.theaimsgroup.com/?l=bugtraq&m=110053968530613&w=2

来源：NSFOCUS
名称：7116
链接：http://www.nsfocus.net/vulndb/7116