Обнаружена уязвимость в Microsoft, Twitter, LinkedIn и Yahoo

Исследователь безопасности Риши Наранг (Rishi Narang) обнаружил уязвимость, которую злоумышленники могут использовать для взлома учетных записей пользователей Microsoft, Twitter, LinkedIn и Yahoo. По словам эксперта, уязвимость, которая может позволить проведение атак фиксации сессии, вызвана ошибкой в управлении сессионными cookie. 

Если злоумышленники перехватят авторизационные cookie, они могут использовать их для взлома учетных записей, поскольку после истечения срока их действия cookie все равно остаются валидными, даже если пользователь завершил сессию работы с сайтом. 

По словам Наранга, авторизационный ID сессии доступен даже после ее завершения. Эксперт также сообщил, что имеются примеры, когда cookie доступны для взлома авторизированных сессий, причем этим cookie уже несколько дней или даже месяцев. В итоге, злоумышленники могут получить доступ к учетным записям пользователей, и даже если они будут многократно заходить в свои аккаунты и выходить из них, cookie будут оставаться действительными.

Риши Наранг добавил, что уязвимость не затронула учетные записи в Google и Facebook.