IIS admite el uso de una cookie de ID de sesión para rastrear el identificador de sesión actual de una sesión web. Sin embargo, ASP en IIS no admite la creación de cookies de ID de sesión seguras como se define en el RFC 2109. Como resultado, las páginas seguras y no seguras en el mismo sitio web utilizan el mismo identificador de sesión. Si un usuario iniciara una sesión con una página web segura, se generaría una cookie de ID de sesión y se enviaría al usuario, protegida por SSL. Pero si el usuario visitara posteriormente una página no segura en el mismo sitio, se intercambiaría la misma cookie de identificación de sesión, esta vez en texto plano. Si un usuario malintencionado tuviera el control total del canal de comunicación, podría leer la cookie de identificación de sesión en texto plano y utilizarla para conectarse a la sesión del usuario con la página segura. En ese momento, podría realizar cualquier acción en la página segura que el usuario pudiera llevar a cabo.
Las condiciones en las que esta vulnerabilidad podría ser explotada son bastante desalentadoras. El usuario malicioso tendría que tener un control total sobre las comunicaciones del otro usuario con el sitio web. Incluso así, el usuario malicioso no podría realizar la conexión inicial a la página segura; sólo el usuario legítimo podría hacerlo. El parche elimina la vulnerabilidad añadiendo soporte para las cookies de identificación de sesión seguras en las páginas ASP. (Las cookies seguras ya están soportadas para todos los demás tipos de cookies, bajo todas las demás tecnologías en IIS).
Lea el FAQ para más información.