Boletín de seguridad de Microsoft MS12-007 - Importante

Una vulnerabilidad en la biblioteca AntiXSS podría permitir la divulgación de información (2607664)

Publicado: martes, 10 de enero de 2012 | Actualizado: lunes, 16 de enero de 2012

Versión: 2.1

Información general

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en la biblioteca antiscripts de sitios de Microsoft (AntiXSS). La vulnerabilidad podría permitir la divulgación de información si un atacante pasa un script malintencionado a un sitio web con la función de saneamiento de la biblioteca AntiXSS. Las consecuencias de la divulgación de esa información dependen de la naturaleza de la propia información. Es importante mencionar que la vulnerabilidad no permitirá al atacante ejecutar código o elevar directamente sus derechos de usuario, pero podría servir para producir información que pudiera usarse para tratar de sacar más provecho del sistema afectado. Solo los sitios que usan el módulo de saneamiento de la biblioteca AntiXSS están afectados por esta vulnerabilidad.

Esta actualización de seguridad se considera importante para la biblioteca AntiXSS V3.x y la biblioteca AntiXSS V4.0. Para obtener más información, vea la subsección Software afectado y no afectado, en esta sección.

La actualización corrige la vulnerabilidad mediante la actualización de la biblioteca AntiXSS a una versión que no está afectada por la vulnerabilidad. Para obtener más información acerca de la vulnerabilidad, consulte la subsección Preguntas más frecuentes (P+F) de la entrada de vulnerabilidad específica en la sección siguiente, Información sobre la vulnerabilidad.

Recomendación. Microsoft recomienda que los clientes instalen la actualización lo antes posible.

Problemas conocidos. En el artículo 2607664 de Microsoft Knowledge Base se señalan los problemas detectados que pueden experimentar los clientes al instalar esta actualización de seguridad. Se documentan asimismo las soluciones propuestas.

Software afectado y no afectado

El software siguiente se ha probado para determinar las versiones o ediciones que están afectadas.

Software afectado

Software	Repercusión de seguridad máxima	Clasificación de gravedad acumulada	Boletines reemplazados por esta actualización
Biblioteca antiscripts de sitios de Microsoft V3.x y Biblioteca antiscripts de sitios de Microsoft V4.0^[1][2]	Divulgación de información	Importante	Ninguna

^[1]Esta descarga actualiza la biblioteca antiscripts de sitios de Microsoft (AntiXSS) a una versión más reciente que no está afectada por la vulnerabilidad.

^[2]Esta actualización solo está disponible en el Centro de descarga de Microsoft. Vea la siguiente sección Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad.

Preguntas más frecuentes (P+F) relacionadas con esta actualización de seguridad

¿Por qué se ha vuelto a publicar este boletín el 11 de enero de 2012?
Microsoft ha vuelto a publicar este boletín para anunciar que el paquete de actualización original, versión 4.2 de la biblioteca AntiXSS, se ha reemplazado por la versión 4.2.1 de la biblioteca AntiXSS. La nueva versión resuelve un problema de nomenclatura que provocaba que no se realizara la instalación del paquete de actualización original en determinadas circunstancias. Todos los usuarios de la biblioteca AntiXSS deberán actualizar a la biblioteca AntiXSS versión 4.2.1 para asegurarse de que están protegidos contra la vulnerabilidad descrita en este boletín.

Soy un desarrollador que usa la biblioteca AntiXSS. ¿Solo necesito la actualización en mi sistema?
No. Los desarrolladores que usen la biblioteca AntiXSS deben instalar la actualización descrita en este boletín y, a continuación, implementar también la biblioteca actualizada en todos sus sitios web activos que usen la biblioteca AntiXSS.

¿Contiene esta actualización algún cambio en relación con la seguridad en su funcionalidad?
Sí. Además de los cambios que se enumeran en la sección Información sobre la vulnerabilidad de este boletín, la actualización a una versión más reciente de la biblioteca AntiXSS (versión 4.2.1) también cambia la funcionalidad de cómo trata las hojas de estilo en cascada (CSS) la biblioteca AntiXSS. Se extraerá la entrada HTML al sistema de saneamiento que contiene estilos, como etiquetas o atributos. Para las etiquetas de estilo, se dejará el contenido de la etiqueta. Este comportamiento es coherente con el comportamiento de otras etiquetas no válidas.

¿Cómo actualizo mi versión de la biblioteca AntiXSS?
Los clientes pueden obtener una versión más reciente de la biblioteca antiscripts de sitios de Microsoft (biblioteca AntiXSS versión 4.2.1) que no esté afectada por la vulnerabilidad mediante el vínculo de descarga de la tabla Software afectado en la sección anterior, Software afectado y no afectado.

¿Por qué la actualización solo está disponible en el Centro de descarga de Microsoft?
Microsoft está publicando la actualización de la biblioteca AntiXSS en el Centro de descarga de Microsoft únicamente. Debido a que los desarrolladores solo implementan la biblioteca actualizada en los sitios web activos que usan la biblioteca AntiXSS, otros métodos de distribución, como las actualizaciones automáticas, no resultan adecuados para este tipo de escenario de actualización.

Información sobre la vulnerabilidad

Gravedad e identificadores de vulnerabilidad

En las siguientes clasificaciones de gravedad se supone la máxima repercusión posible de la vulnerabilidad. Para obtener información acerca de la probabilidad, en el plazo de 30 días después de la publicación de este boletín de seguridad, de la explotabilidad de la vulnerabilidad en relación con su clasificación de gravedad y repercusiones de seguridad, vea el índice de explotabilidad en el resumen del boletín de enero. Para obtener más información, vea Índice de explotabilidad de Microsoft.

Gravedad de la vulnerabilidad y repercusión de seguridad máxima del software afectado
Software afectado	Vulnerabilidad de omisión de la biblioteca AntiXSS (CVE-2012-0007)	Clasificación de gravedad acumulada
Biblioteca antiscripts de sitios de Microsoft V3.x y Biblioteca antiscripts de sitios de Microsoft V4.0	Importante Divulgación de información	Importante

Vulnerabilidad de omisión de la biblioteca AntiXSS (CVE-2012-0007)

Existe una vulnerabilidad de divulgación de información debida a que la biblioteca antiscripts de sitios de Microsoft (AntiXSS) sanea de forma incorrecta el código HTML especialmente diseñado. Un atacante que consiguiera aprovechar esta vulnerabilidad podría realizar un ataque de scripts de sitios (XSS) en un sitio web que use la biblioteca AntiXSS para sanear el código HTML proporcionado por el usuario. Esto podría permitir a un atacante pasar un script malintencionado a través de una función de saneamiento y exponer información que no está destinada para su divulgación. Las consecuencias de la divulgación de esta información dependen de la naturaleza de la propia información. Es importante mencionar que la vulnerabilidad no permitirá al atacante ejecutar código o elevar directamente sus derechos de usuario, pero podría servir para producir información que pudiera usarse en un intento de sacar más provecho del sistema afectado.

Para ver esta vulnerabilidad como una entrada estándar en la lista de vulnerabilidades y exposiciones comunes, vea CVE-2012-0007.

Factores atenuantes para la vulnerabilidad de omisión de la biblioteca AntiXSS (CVE-2012-0007)

Soluciones provisionales para la vulnerabilidad de omisión de la biblioteca AntiXSS (CVE-2012-0007)

Preguntas más frecuentes sobre la vulnerabilidad de omisión de la biblioteca AntiXSS (CVE-2012-0007)

¿Cuál es el alcance de esta vulnerabilidad?
Esta vulnerabilidad afecta a la divulgación de información. Un atacante que consiguiera aprovechar la vulnerabilidad podría pasar un script malintencionado a través de una función de saneamiento y exponer información que no está destinada para su divulgación. Es importante mencionar que la vulnerabilidad no permitirá al atacante ejecutar código o elevar directamente sus derechos de usuario, pero podría servir para recopilar información que pudiera usarse en un intento de sacar más provecho del sistema afectado.

¿Cuál es la causa de esta vulnerabilidad?
La vulnerabilidad se debe a que la biblioteca antiscripts de sitios de Microsoft (AntiXSS) evalúa incorrectamente determinados caracteres después de que se detecte un carácter con escape CSS.

¿Qué es la biblioteca antiscripts de sitios (AntiXSS)?
La biblioteca antiscripts de sitios de Microsoft (AntiXSS) es una biblioteca de codificación diseñada para ayudar a los desarrolladores a proteger sus aplicaciones basadas en web ASP.NET contra los ataques XSS. Se diferencia de la mayoría de las bibliotecas de codificación en el hecho de que usa técnica de lista blanca, en ocasiones se denomina principio de inclusiones, para ofrecer protección contra los ataques XSS. El funcionamiento de este enfoque consiste en definir en primer lugar un conjunto de caracteres permitido y, a continuación, codificar todo lo que está fuera de él (caracteres no válidos o posibles ataques). El enfoque de lista blanca proporciona varias ventajas sobre otros esquemas de codificación.

¿Para qué puede usar un atacante esta vulnerabilidad?
Un atacante que consiguiera aprovechar esta vulnerabilidad podría realizar un ataque de scripts de sitios (XSS) en un sitio web que use la biblioteca AntiXSS para sanear el código HTML proporcionado por el usuario. Un atacante podría pasar un script malintencionado a través de una función de saneamiento y exponer información que no está destinada para su divulgación. Las consecuencias de la divulgación de esa información dependen de la naturaleza de la propia información. Es importante mencionar que la vulnerabilidad no permitirá al atacante ejecutar código o elevar directamente sus derechos de usuario, pero podría servir para recopilar información que pudiera usarse en un intento de sacar más provecho del sistema afectado.

¿Cómo podría aprovechar un atacante la vulnerabilidad?
Para aprovechar esta vulnerabilidad, un atacante podría enviar código HTML especialmente diseñado a un sitio web de destino que use el módulo de saneamiento de la biblioteca AntiXSS. Cuando la biblioteca AntiXSS sanea incorrectamente el código HTML, el script malintencionado que está incluido en el código HTML especialmente diseñado podría ejecutarse en el servidor web afectado.

¿Qué sistemas están más expuestos a esta vulnerabilidad?
Los servidores web que utilizan la biblioteca AntiXSS están más expuestos.

¿Cómo funciona esta actualización?
La actualización corrige la vulnerabilidad mediante la actualización de la biblioteca AntiXSS a una versión que no está afectada por la vulnerabilidad.

En el momento de emitir este boletín de seguridad, ¿se había divulgado ya esta vulnerabilidad?
No. Microsoft recibió información acerca de esta vulnerabilidad a través de una fuente de divulgación de vulnerabilidades coordinada.

En el momento de publicar este boletín de seguridad, ¿había recibido Microsoft algún informe que indicase que se estaba utilizando esta vulnerabilidad?
No. En el momento de publicar este boletín de seguridad, Microsoft no había recibido ninguna información que indicara que esta vulnerabilidad se hubiera utilizado para atacar a clientes.

Información adicional:

Agradecimientos

Microsoft muestra su agradecimiento a todas las personas que han trabajado con nosotros para proteger a los clientes:

Adi Cohen, de IBM Rational Application Security, por informar de la vulnerabilidad de omisión de la biblioteca AntiXSS (CVE-2012-0007)

Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información acerca de las vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de las actualizaciones de seguridad. De este modo, los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos de seguridad, como, por ejemplo, antivirus, sistemas de detección de intrusiones de red o sistemas de prevención de intrusiones de host. Para determinar si hay disponibles protecciones activas en los proveedores de software de seguridad, visite los sitios web de protecciones activas que proporcionan los asociados, enumeradas en

Asociados de Microsoft Active Protections Program (MAPP)

Soporte técnico

Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico del soporte de seguridad o en el teléfono 1-866-PCSAFETY. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas. Para obtener más información acerca de las opciones de asistencia disponibles, vea Ayuda y soporte técnico de Microsoft.
Los clientes internacionales pueden recibir soporte técnico en las subsidiarias de Microsoft de sus países. Las llamadas de soporte técnico relacionadas con las actualizaciones de seguridad son gratuitas. Para obtener más información acerca de cómo ponerse en contacto con Microsoft en relación con problemas de soporte técnico, visite el sitio web de soporte técnico internacional de Microsoft.

Renuncia

La información proporcionada en Microsoft Knowledge Base se suministra "tal cual", sin garantías de ningún tipo. Microsoft renuncia al otorgamiento de toda garantía, tanto expresa como implícita, incluidas las garantías de comerciabilidad e idoneidad para un determinado fin. Ni Microsoft Corporation ni sus proveedores se responsabilizarán en ningún caso de daños directos, indirectos, incidentales, consecuenciales, pérdida de beneficios o daños especiales, aun en el supuesto de que se hubiera informado a Microsoft Corporation o a sus proveedores de la posibilidad de dichos daños. Algunos estados de Estados Unidos no permiten la exclusión o limitación de responsabilidad por daños consecuenciales o incidentales, y, por tanto, la limitación anterior puede no ser aplicable en su caso.

Revisiones

V1.0 (10 de enero de 2012): Publicación del boletín.
V2.0 (11 de enero de 2012): Se ha anunciado que el paquete de actualización original, versión 4.2 de la biblioteca AntiXSS, se ha reemplazado por la versión 4.2.1 de la biblioteca AntiXSS. Todos los usuarios de la biblioteca AntiXSS deberán actualizarse a la versión 4.2.1 de la biblioteca AntiXSS para asegurarse de que están protegidos contra la vulnerabilidad descrita en este boletín. Vea las preguntas más frecuentes de la actualización para obtener más información.
V2.1 (16 de enero de 2012): Se ha agregado un vínculo al artículo 2607664 de Microsoft Knowledge Base en Problemas conocidos en Resumen ejecutivo. También se ha revisado la entrada en las preguntas más frecuentes sobre la actualización para aclarar que la versión 4.2.1 de la biblioteca AntiXSS solo está disponible en el Centro de descarga de Microsoft.