en

چندين آسيب پذيري درForefront Unified Access Gateway مايكروسافت

IRCAD2011101473
شماره:IRCAD2011101473
تاريخ انتشار: 11-10-2011
ميزان حساسيت: بسيار مهم
نرم افزارهاي تحت تاثير:
Microsoft Forefront Unified Access Gateway (UAG) 2010
توضيح:
چندين آسيب پذيري در Forefront Unified Access Gateway مايكروسافت گزارش شده است. اين آسيب پذيري ها مي توانند توسط افراد خرابكار مورد سوء استفاده قرار بگيرند تا اسكريپت هاي بين سايتي و حملات تجزيه كننده پاسخ HTTPرا هدايت كنند، باعث ايجاد حملات انكار سرويس (DoS)شوند و كنترل يك سيستم كاربر را در اختيار بگيرند.
1) ورودي نامشخص خاص در رابطه با جدول هاي اكسل قبل از بازگشت به كاربر به خوبي بازبيني نمي شوند. اين مساله مي تواند براي قرار دادن سرآيندهاي دلخواه HTTP كه در پاسخ به كاربر فرستاده خواهد شد مورد سوء استفاده قرار بگيرد.
2)ورودي نامشخص خاص در رابطه با جدول هاي اكسل قبل از بازگشت به كاربر به خوبي بازبيني نمي شوند. اين مساله مي تواند براي اجراي HTML دلخواه و كد اسكريپت در نشست مرورگر كاربر در متن سايت آلوده شده مورد سوء استفاده قرار بگيرد.
3) ورودي نامشخص خاص قبل از بازگشت به كاربر به خوبي بازبيني نمي شوند. اين مساله مي تواند براي اجراي HTML دلخواه و كد اسكريپت در نشست مرورگر كاربر در متن سايت آلوده شده مورد سوء استفاده قرار بگيرد.
4) يك خطاي نامشخص در اپلت جاوا MicrosoftClient.jar وجود دارد كه مي تواند براي دانلود و نصب يك فايل JAR مخرب بر روي سيستم كلاينت ها مورد سوء استفاده قرار بگيرد.
سوء استفاده موفقيت آميز از اين آسيب پذيري منجر به اجراي كد دلخواه در محدوده يك كلاينتي كه از گذرگاه استفاده مي كند شود.
5) يك خطا در هنگام مديريت كوكي هاي نشست با ارزش NULL مي تواند براي متوقف كردن پردازش كاري IIS و قطع كردن سرويس هاي وب مورد سوء استفاده قرار بگيرد.
راهكار:
بسته هاي به روز رساني را اعمال كنيد.
منابع:
MS11-079 (KB2544641, KB2522482, KB2522483, KB2522484, KB2522485):
Secunia:

The Wall

No comments
You need to sign in to comment