Bulletin de sécurité
Bulletin de sécurité Microsoft MS12-007 - Important
La vulnérabilité dans la bibliothèque AntiXSS peut autoriser la divulgation d’informations (2607664)
Publication : 10 janvier 2012 | Mise à jour : 16 janvier 2012
Version : 2.1
Informations générales
Résumé
Cette mise à jour de sécurité résout une vulnérabilité signalée en privé dans la bibliothèque Anti-Cross Site Scripting (AntiXSS). La vulnérabilité peut autoriser la divulgation d’informations si un attaquant transmet un script malveillant à un site web à l’aide de la fonction de nettoyage de la bibliothèque AntiXSS. Les conséquences de la divulgation de ces informations dépendent de la nature de l’information elle-même. Notez que cette vulnérabilité ne permettrait pas à un attaquant d’exécuter du code ou d’élever directement les droits utilisateur de l’attaquant, mais qu’elle pourrait être utilisée pour produire des informations qui pourraient être utilisées pour tenter de compromettre davantage le système concerné. Seuls les sites qui utilisent le module de nettoyage de la bibliothèque AntiXSS sont affectés par cette vulnérabilité.
Cette mise à jour de sécurité est évaluée comme importante pour la bibliothèque AntiXSS V3.x et la bibliothèque AntiXSS V4.0. Pour plus d’informations, consultez la sous-section, Les logiciels affectés et non affectés, dans cette section.
La mise à jour résout la vulnérabilité en mettant à niveau la bibliothèque AntiXSS vers une version qui n’est pas affectée par la vulnérabilité. Pour plus d’informations sur la vulnérabilité, consultez la sous-section Questions fréquentes (FAQ) sur l’entrée de vulnérabilité spécifique dans la section suivante, Informations sur les vulnérabilités.
Recommandation. Microsoft recommande aux clients d’appliquer la mise à jour au plus tôt.
Problèmes connus.L’article de la Base de connaissances Microsoft 2607664 documente les problèmes actuellement connus rencontrés par les clients lors de l’installation de cette mise à jour de sécurité. L’article documente également les solutions recommandées pour ces problèmes.
Logiciels affectés et non affectés
Les logiciels suivants ont été testés pour déterminer quelles versions ou éditions sont affectées.
Logiciel affecté
| Logiciel | Impact maximal sur la sécurité | Évaluation de gravité agrégée | Bulletins remplacés par cette mise à jour |
|---|---|---|---|
| Bibliothèque de script de site multisites Microsoft V3.x et Bibliothèque de script de site multisites Microsoft V4.0[1][2] | Divulgation d’informations | Important | Aucun |
[1]Ce téléchargement met à niveau la bibliothèque Anti-Cross Site Scripting (AntiXSS) Microsoft vers une version plus récente de la bibliothèque de script de site multisites Microsoft qui n’est pas affectée par la vulnérabilité.
[2]Cette mise à niveau est disponible uniquement à partir du Centre de téléchargement Microsoft. Consultez la section suivante, forum aux questions (FAQ) sur cette mise à jour de sécurité.
Questions fréquentes (FAQ) relatives à cette mise à jour de sécurité
Pourquoi ce bulletin a-t-il été réédité le11 janvier 2012 ?
Microsoft a réécrit ce bulletin pour annoncer que le package de mise à niveau d’origine, AntiXSS Library version 4.2, a été remplacé par antiXSS Library version 4.2.1. La nouvelle version résout un problème de nommage qui a provoqué l’échec de l’installation du package de mise à niveau d’origine dans certaines circonstances. Tous les utilisateurs de la bibliothèque AntiXSS doivent effectuer une mise à niveau vers la bibliothèque AntiXSS version 4.2.1 pour vous assurer qu’ils sont protégés contre la vulnérabilité décrite dans ce bulletin.
Je suis développeur à l’aide de labibliothèque AntiXSS.Ai-je juste besoin de la mise à jour sur mon système ?
Non. Les développeurs qui utilisent la bibliothèque AntiXSS doivent installer la mise à niveau décrite dans ce bulletin, puis déployer la bibliothèque mise à jour sur tous leurs sites web actifs qui utilisent la bibliothèque AntiXSS.
Cettemise à niveaucontient-elle des modifications liées à la sécurité apportées aux fonctionnalités ?
Oui. Outre les modifications répertoriées dans la section Informations sur les vulnérabilités de ce bulletin, la mise à niveau vers une version plus récente de la bibliothèque AntiXSS (bibliothèque AntiXSS version 4.2.1) modifie également les fonctionnalités de la façon dont les feuilles de style en cascade (CSS) sont gérées par la bibliothèque AntiXSS. L’entrée HTML du désinfecteur qui contient des styles, tels que des balises ou des attributs, sera supprimée. Pour les balises de style, le contenu de la balise est laissé derrière. Ce comportement est cohérent avec le comportement des autres balises non valides.
Comment faire mettre à niveau ma version duBibliothèque AntiXSS?
Les clients peuvent obtenir une version plus récente de la bibliothèque de scripts anti-sites Microsoft (bibliothèque AntiXSS version 4.2.1) qui n’est pas affectée par la vulnérabilité à l’aide du lien de téléchargement dans la table de téléchargement du logiciel affecté dans la section précédente, Les logiciels affectés et non affectés.
Pourquoi la mise à niveauest-elledisponible uniquement à partir du Centre de téléchargement Microsoft ?
Microsoft publie la mise à niveau de la bibliothèque AntiXSS vers le Centre de téléchargement Microsoft uniquement. Étant donné que les développeurs déploient la bibliothèque mise à jour uniquement sur des sites web actifs qui utilisent la bibliothèque AntiXSS, d’autres méthodes de distribution, telles que la mise à jour automatique, ne conviennent pas à ce type de scénario de mise à niveau.
Informations sur les vulnérabilités
Évaluations de gravité et identificateurs de vulnérabilité
Les évaluations de gravité suivantes supposent l’impact maximal potentiel de la vulnérabilité. Pour plus d’informations sur la probabilité, dans les 30 jours suivant la publication de ce bulletin de sécurité, de l’exploitabilité de la vulnérabilité par rapport à son impact sur la gravité et la sécurité, consultez l’index exploitabilité dans le résumé du bulletin de janvier. Pour plus d’informations, consultez Microsoft Exploitability Index.
| Logiciel affecté | Vulnérabilité de contournement de la bibliothèque AntiXSS - CVE-2012-0007 | Évaluation de gravité agrégée |
|---|---|---|
| Bibliothèque de script de site multisites Microsoft V3.x et bibliothèque de script de site multisites Microsoft V4.0 | Important \ Divulgation d’informations | Important |
Vulnérabilité de contournement de la bibliothèque AntiXSS - CVE-2012-0007
Une vulnérabilité de divulgation d’informations existe lorsque la bibliothèque Microsoft Anti-Cross Site Scripting (AntiXSS) désinfecte incorrectement le code HTML spécialement conçu. Un attaquant qui a réussi à exploiter cette vulnérabilité peut effectuer une attaque de script intersites (XSS) sur un site web qui utilise la bibliothèque AntiXSS pour nettoyer le code HTML fourni par l’utilisateur. Cela peut permettre à un attaquant de passer un script malveillant par le biais d’une fonction de nettoyage et d’exposer des informations non destinées à être divulguées. Les conséquences de la divulgation de ces informations dépendent de la nature de l’information elle-même. Notez que cette vulnérabilité ne permet pas à un attaquant d’exécuter du code ou d’élever directement les droits utilisateur de l’attaquant, mais qu’elle peut être utilisée pour produire des informations qui pourraient être utilisées dans une tentative de compromission du système concerné.
Pour afficher cette vulnérabilité comme entrée standard dans la liste Des vulnérabilités et des expositions courantes, consultez CVE-2012-0007.
Atténuation des facteurs de vulnérabilité de contournement de la bibliothèque AntiXSS - CVE-2012-0007
L’atténuation fait référence à un paramètre, à une configuration courante ou à une meilleure pratique générale, existant dans un état par défaut, qui peut réduire la gravité de l’exploitation d’une vulnérabilité. Les facteurs d’atténuation suivants peuvent être utiles dans votre situation :
- Seuls les sites qui utilisent le module de nettoyage de la bibliothèque AntiXSS sont affectés par cette vulnérabilité.
Solutions de contournement de la bibliothèque AntiXSS - CVE-2012-0007
Microsoft n’a identifié aucune solution de contournement pour cette vulnérabilité.
FAQ sur la vulnérabilité de contournement de la bibliothèque AntiXSS - CVE-2012-0007
Quelle est l’étendue de la vulnérabilité ?
Il s’agit d’une vulnérabilité de divulgation d’informations. Un attaquant qui a réussi à exploiter cette vulnérabilité peut transmettre un script malveillant par le biais d’une fonction de nettoyage et exposer des informations non destinées à être divulguées. Notez que cette vulnérabilité n’autorise pas un attaquant à exécuter du code ou à élever directement les droits utilisateur de l’attaquant, mais qu’elle peut être utilisée pour collecter des informations qui pourraient être utilisées dans une tentative de compromission du système concerné.
Quelles sont les causes de la vulnérabilité ?
La vulnérabilité est le résultat de la bibliothèque Microsoft Anti-Cross Site Scripting (AntiXSS) qui évalue incorrectement certains caractères après la détection d’un caractère d’échappement CSS.
Qu’est-ce que la bibliothèque Anti-Cross Site Scripting (AntiXSS) ?
La bibliothèque Microsoft Anti-Cross Site Scripting (AntiXSS) est une bibliothèque d’encodage conçue pour aider les développeurs à protéger leurs applications web ASP.NET contre les attaques XSS. Il diffère de la plupart des bibliothèques d’encodage dans le fait qu’elle utilise la technique de liste verte (parfois appelée principe d’inclusions) pour fournir une protection contre les attaques XSS. Cette approche fonctionne en définissant d’abord un jeu de caractères valide ou autorisé, puis en encodant tout ce qui se trouve en dehors de ce jeu (caractères non valides ou attaques potentielles). L’approche de liste verte offre plusieurs avantages par rapport à d’autres schémas d’encodage.
Qu’est-ce qu’un attaquant peut utiliser la vulnérabilité pour faire ?
Un attaquant qui a réussi à exploiter cette vulnérabilité peut effectuer une attaque de script intersites (XSS) sur un site web qui utilise la bibliothèque AntiXSS pour nettoyer le code HTML fourni par l’utilisateur. Un attaquant peut ensuite passer un script malveillant par le biais d’une fonction d’assainissement et exposer des informations non destinées à être divulguées. Les conséquences de la divulgation de ces informations dépendent de la nature de l’information elle-même. Notez que cette vulnérabilité n’autorise pas un attaquant à exécuter du code ou à élever directement les droits utilisateur de l’attaquant, mais qu’elle peut être utilisée pour collecter des informations qui pourraient être utilisées dans une tentative de compromission du système concerné.
Comment un attaquant pourrait-il exploiter lavulnérabilité ?
Pour exploiter cette vulnérabilité, un attaquant peut envoyer du code HTML spécialement conçu à un site web cible qui utilise le module de nettoyage de la bibliothèque AntiXSS. Lorsque la bibliothèque AntiXSS désinfecte incorrectement le code HTML, un script malveillant contenu dans le code HTML spécialement conçu peut être exécuté sur le serveur web concerné.
Quels systèmes sont principalement exposés à la vulnérabilité ?
Les serveurs web utilisant la bibliothèque AntiXSS sont exposés à cette vulnérabilité.
Que fait la mise à jour ?
La mise à jour résout la vulnérabilité en mettant à niveau la bibliothèque AntiXSS vers une version qui n’est pas affectée par la vulnérabilité.
Quand ce bulletin de sécurité a été émis, cette vulnérabilité a-t-elle été divulguée publiquement ?
Non. Microsoft a reçu des informations sur cette vulnérabilité par le biais d’une divulgation coordonnée des vulnérabilités.
Quand ce bulletin de sécurité a été émis, Microsoft a-t-il reçu des rapports indiquant que cette vulnérabilité était exploitée ?
Non. Microsoft n’avait reçu aucune information pour indiquer que cette vulnérabilité avait été utilisée publiquement pour attaquer les clients lorsque ce bulletin de sécurité a été émis à l’origine.
Autres informations
Remerciements
Microsoft remercie ce qui suit pour nous aider à protéger les clients :
- Adi Cohen d’IBM Rational Application Security pour signaler la vulnérabilité de contournement de la bibliothèque AntiXSS (CVE-2012-0007)
Programme Microsoft Active Protections (MAPP)
Pour améliorer les protections de sécurité pour les clients, Microsoft fournit des informations sur les vulnérabilités aux principaux fournisseurs de logiciels de sécurité avant chaque version mensuelle de la mise à jour de sécurité. Les fournisseurs de logiciels de sécurité peuvent ensuite utiliser ces informations de vulnérabilité pour fournir des protections mises à jour aux clients via leurs logiciels ou appareils de sécurité, tels que les systèmes antivirus, les systèmes de détection d’intrusion basés sur le réseau ou les systèmes de prévention des intrusions basés sur l’hôte. Pour déterminer si les protections actives sont disponibles auprès des fournisseurs de logiciels de sécurité, visitez les sites web de protection actifs fournis par les partenaires du programme, répertoriés dans microsoft Active Protections Program (MAPP) Partners.
Support
- Les clients aux États-Unis et au Canada peuvent recevoir un soutien technique du support technique du support de sécurité ou du 1-866-PCSAFETY. Il n’existe aucun frais pour les appels de support associés aux mises à jour de sécurité. Pour plus d’informations sur les options de support disponibles, consultez Aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Il n’existe aucun frais pour la prise en charge associée aux mises à jour de sécurité. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support, visitez le site web du support international.
Exclusion de responsabilité
Les informations fournies dans la Base de connaissances Microsoft sont fournies « telles quelles » sans garantie. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions
- V1.0 (10 janvier 2012) : Bulletin publié.
- V2.0 (11 janvier 2012) : annonce que le package de mise à niveau d’origine, AntiXSS Library version 4.2, a été remplacé par antiXSS Library version 4.2.1. Tous les utilisateurs de la bibliothèque AntiXSS doivent effectuer une mise à niveau vers la bibliothèque AntiXSS version 4.2.1 pour vous assurer qu’ils sont protégés contre la vulnérabilité décrite dans ce bulletin. Consultez le FAQ sur la mise à jour pour plus d’informations.
- V2.1 (16 janvier 2012) : Ajout d’un lien vers l’article de la Base de connaissances Microsoft 2607664 sous Problèmes connus dans le résumé exécutif. En outre, l’entrée révisée dans le FORUM aux questions sur la mise à jour pour clarifier la raison pour laquelle la mise à niveau vers la bibliothèque AntiXSS version 4.2.1 est disponible uniquement à partir du Centre de téléchargement Microsoft.
Construit à 2014-04-18T13 :49 :36Z-07 :00