正文

Google Chrome Cookie修改漏洞

admin
admin V管理员 /0 评论 /9 阅读
0414
此篇文章发布距今已超过1110天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2008-7294

利用情况

暂无

补丁情况

N/A

披露时间

2011-08-10
漏洞描述
Google Chrome 是Google发布的开源WEB浏览器。 Google Chrome 4.0.211.0之前版本中不能正确限制建立在HTTPS会话中的cookies的修改。中间人攻击者可借助HTTP响应中的Set-Cookie头覆盖或者删除任意cookies。
解决建议
目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy_for_cookies
参考链接
http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy_for_cookies
http://lists.w3.org/Archives/Public/public-webapps/2009JulSep/1148.html
http://michael-coates.blogspot.com/2010/01/cookie-forcing-trust-your-cookies-no.html
http://scarybeastsecurity.blogspot.com/2008/11/cookie-forcing.html
http://scarybeastsecurity.blogspot.com/2011/02/some-less-obvious-benefits-of-...
https://bugzilla.mozilla.org/show_bug.cgi?id=660053
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 google chrome * Up to
(including)
3.0.195.38
运行在以下环境
应用 google chrome 0.1.38.1 -
运行在以下环境
应用 google chrome 0.1.38.2 -
运行在以下环境
应用 google chrome 0.1.38.4 -
运行在以下环境
应用 google chrome 0.1.40.1 -
运行在以下环境
应用 google chrome 0.1.42.2 -
运行在以下环境
应用 google chrome 0.1.42.3 -
运行在以下环境
应用 google chrome 0.2.149.27 -
运行在以下环境
应用 google chrome 0.2.149.29 -
运行在以下环境
应用 google chrome 0.2.149.30 -
运行在以下环境
应用 google chrome 0.2.152.1 -
运行在以下环境
应用 google chrome 0.2.153.1 -
运行在以下环境
应用 google chrome 0.3.154.0 -
运行在以下环境
应用 google chrome 0.3.154.3 -
运行在以下环境
应用 google chrome 0.4.154.18 -
运行在以下环境
应用 google chrome 0.4.154.22 -
运行在以下环境
应用 google chrome 0.4.154.31 -
运行在以下环境
应用 google chrome 0.4.154.33 -
运行在以下环境
应用 google chrome 1.0.154.36 -
运行在以下环境
应用 google chrome 1.0.154.39 -
运行在以下环境
应用 google chrome 1.0.154.42 -
运行在以下环境
应用 google chrome 1.0.154.43 -
运行在以下环境
应用 google chrome 1.0.154.46 -
运行在以下环境
应用 google chrome 1.0.154.48 -
运行在以下环境
应用 google chrome 1.0.154.52 -
运行在以下环境
应用 google chrome 1.0.154.53 -
运行在以下环境
应用 google chrome 1.0.154.59 -
运行在以下环境
应用 google chrome 1.0.154.64 -
运行在以下环境
应用 google chrome 1.0.154.65 -
运行在以下环境
应用 google chrome 2.0.156.1 -
运行在以下环境
应用 google chrome 2.0.157.0 -
运行在以下环境
应用 google chrome 2.0.157.2 -
运行在以下环境
应用 google chrome 2.0.158.0 -
运行在以下环境
应用 google chrome 2.0.159.0 -
运行在以下环境
应用 google chrome 2.0.169.0 -
运行在以下环境
应用 google chrome 2.0.169.1 -
运行在以下环境
应用 google chrome 2.0.170.0 -
运行在以下环境
应用 google chrome 2.0.172 -
运行在以下环境
应用 google chrome 2.0.172.2 -
运行在以下环境
应用 google chrome 2.0.172.27 -
运行在以下环境
应用 google chrome 2.0.172.28 -
运行在以下环境
应用 google chrome 2.0.172.30 -
运行在以下环境
应用 google chrome 2.0.172.31 -
运行在以下环境
应用 google chrome 2.0.172.33 -
运行在以下环境
应用 google chrome 2.0.172.37 -
运行在以下环境
应用 google chrome 2.0.172.38 -
运行在以下环境
应用 google chrome 2.0.172.8 -
运行在以下环境
应用 google chrome 3.0.182.2 -
运行在以下环境
应用 google chrome 3.0.190.2 -
运行在以下环境
应用 google chrome 3.0.193.2 -
运行在以下环境
应用 google chrome 3.0.195.2 -
运行在以下环境
应用 google chrome 3.0.195.21 -
运行在以下环境
应用 google chrome 3.0.195.24 -
运行在以下环境
应用 google chrome 3.0.195.25 -
运行在以下环境
应用 google chrome 3.0.195.27 -
运行在以下环境
应用 google chrome 3.0.195.32 -
运行在以下环境
应用 google chrome 3.0.195.33 -
运行在以下环境
应用 google chrome 3.0.195.36 -
运行在以下环境
应用 google chrome 3.0.195.37 -
CVSS3评分 5.8
  • 攻击路径 网络
  • 攻击复杂度 N/A
  • 权限要求 无
  • 影响范围 N/A
  • 用户交互 无
  • 可用性 部分地
  • 保密性 无
  • 完整性 部分地
AV:N/AC:M/Au:N/C:N/I:P/A:P CWE-ID 漏洞类型 CWE-264 权限、特权和访问控制