17 febbraio 2009

Microsoft XML Core Services XMLHttpRequest 'SetCookie2' Header Information Disclosure Vulnerability

Security Focus (http://www.securityfocus.com/) riporta un bollettino di sicurezza (Bugtraq ID: 33803 (http://www.securityfocus.com/bid/33803/info)) riguardante Microsoft XML Core Services (MSXML) in cui si spiega che è stata trovata una vulnerabilità che esporrebbe alla dilvulgazione non autorizzata di informazioni sensibili in quanto non proteggerebbe adeguatamente i dati dei cookie con il meccanismo di protezione 'HTTPOnly'.

Lo sfruttamento con successo della falla potrebbe permettere ad un attacker di rubare le credenziali basate sui cookie; Le informazioni raccolte, poi, potrebbero essere sfruttare per altri tipi di attacchi.

Versioni vulnerabili:
Microsoft XML Core Services 6.0
Microsoft XML Core Services 5.0
Microsoft XML Core Services 4.0
Microsoft XML Core Services 3.0


Soluzione:
Al momento non esistono fix o nuove versionio del programma che risulvono il problema.

Classe falla:
Origin Validation Error


Falla scoperta da:
Wladimir Palant






Fonte: SecurityFocus (http://www.securityfocus.com/bid/33803/info)