Biztonsági közlemény
A Microsoft MS12-007 biztonsági közleménye – Fontos
Az AntiXSS-kódtár biztonsági rése lehetővé teheti az információk közzétételét (2607664)
Közzétéve: 2012. január 10. | Frissítve: 2012. január 16.
Verzió: 2.1
Általános információk
Vezetői összefoglaló
Ez a biztonsági frissítés a Microsoft AntiXSS(AntiXSS) kódtárában található, privát úton jelentett biztonsági rést oldja fel. A biztonsági rés lehetővé teheti az információk közzétételét, ha egy támadó rosszindulatú szkriptet ad át egy webhelynek az AntiXSS-kódtár fertőtlenítő funkcióját használva. Az információk nyilvánosságra hozatalának következményei az információ jellegétől függenek. Vegye figyelembe, hogy ez a biztonsági rés nem teszi lehetővé, hogy a támadó kódot hajthasson végre, vagy közvetlenül emelje a támadó felhasználói jogosultságát, de olyan információk előállítására használható, amelyek az érintett rendszer további veszélyeztetésére használhatók. Ez a biztonsági rés csak azOkat a webhelyeket érinti, amelyek az AntiXSS-kódtár fertőtlenítő modulját használják.
Ez a biztonsági frissítés az AntiXSS Library V3.x és az AntiXSS Library V4.0 esetében fontos besorolású. További információt ebben a szakaszban az Érintett és a Nem érintett szoftverek alszakaszban talál.
A frissítés úgy oldja meg a biztonsági rést, hogy az AntiXSS-kódtárat a biztonsági rés által nem érintett verzióra frissíti. A biztonsági réssel kapcsolatos további információkért tekintse meg a biztonságirés-bejegyzéssel kapcsolatos gyakori kérdések (GYIK) alszakaszt a biztonságirés-információk című következő szakaszban.
Ajánlás. A Microsoft azt javasolja, hogy az ügyfelek a lehető leghamarabb alkalmazzák a frissítést.
Ismert problémák.A Microsoft Tudásbázis cikke 2607664 a biztonsági frissítés telepítésekor az ügyfelek által tapasztalt, jelenleg ismert problémákat ismerteti. A cikk a javasolt megoldásokat is ismerteti ezekre a problémákra.
Érintett és nem érintett szoftverek
Az alábbi szoftvereket teszteltük annak megállapítására, hogy mely verziókra vagy kiadásokra van hatással.
Érintett szoftver
| Szoftver | Maximális biztonsági hatás | Súlyosság összesített minősítése | A frissítés által lecserélt közlemények |
|---|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x és Microsoft Anti-Cross Site Scripting Library V4.0[1][2] | Információfelfedés | Fontos | Egyik sem |
[1]Ez a letöltés frissíti a Microsoft Anti-Cross Site Scripting (AntiXSS) könyvtárat a Microsoft Anti-Cross Site Scripting Library újabb verziójára, amelyet a biztonsági rés nem érint.
[2]Ez a frissítés csak a Microsoft letöltőközpontból érhető el. Tekintse meg a következő, a biztonsági frissítéssel kapcsolatos gyakori kérdések (GYIK) című szakaszt.
A biztonsági frissítéssel kapcsolatos gyakori kérdések (GYIK)
Miért adták ki újra ezt a közleményt 2012. január 11-én?
A Microsoft ismét kiadta ezt a közleményt, hogy az eredeti frissítési csomagot, az AntiXSS Library 4.2-es verzióját lecserélték az AntiXSS Library 4.2.1-es verziójára. Az új verzió elhárít egy elnevezési hibát, amely miatt az eredeti frissítési csomag telepítése bizonyos körülmények között meghiúsult. Az AntiXSS-kódtár minden felhasználójának frissítenie kell az AntiXSS-kódtár 4.2.1-es verziójára, hogy biztosan védve legyenek a jelen közleményben ismertetett biztonsági réstől.
Fejlesztő vagyok azAntiXSS-kódtárhasználatával.Csak a rendszerem frissítésére van szükségem?
Szám Az AntiXSS-kódtárat használó fejlesztőknek telepíteniük kell a jelen közleményben ismertetett frissítést, majd a frissített kódtárat is üzembe kell helyezniük az AntiXSS-könyvtárat használó összes aktív webhelyükön.
A frissítéstartalmaz-ebiztonsági jellegű módosításokat a funkciókban?
Igen. A jelen közlemény Biztonságirés-információk szakaszában felsorolt módosítások mellett az AntiXSS-kódtár (AntiXSS-kódtár 4.2.1-es verziója) újabb verziójára való frissítés is megváltoztatja a stíluslapok (CSS) AntiXSS-kódtár általi kezelésének funkcióját. A stílusokat, például címkéket vagy attribútumokat tartalmazó fertőtlenítő HTML-bemenete el lesz vetve. Stíluscímkék esetén a címke tartalma megmarad. Ez a viselkedés összhangban van más érvénytelen címkék viselkedésével.
Hogyan verziófrissítésAntiXSS-kódtár?
Az ügyfelek a Microsoft Anti-Cross Site Scripting Library (AntiXSS Library 4.2.1-es verziója) újabb verzióját szerezhetik be, amelyet a biztonsági rés nem érint. Ehhez használja az Érintett szoftver táblázat korábbi, Érintett és Nem érintett szoftver című szakaszának letöltési hivatkozását.
Miért csak a Microsoft letöltőközpontból érhető el a frissítés?
A Microsoft csak a Microsoft letöltőközpontjában adja ki az AntiXSS-kódtár frissítését. Mivel a fejlesztők csak az AntiXSS-kódtárat használó aktív webhelyeken helyezik üzembe a frissített tárat, más terjesztési módszerek, például az automatikus frissítés nem megfelelőek az ilyen típusú frissítési forgatókönyvekhez.
Biztonságirés-információk
Súlyossági minősítések és biztonságirés-azonosítók
Az alábbi súlyossági minősítések feltételezik a biztonsági rés lehetséges maximális hatását. A biztonsági rés súlyosságával és biztonsági hatásával kapcsolatos biztonsági rés kihasználásának valószínűségéről a biztonsági közlemény megjelenésétől számított 30 napon belül tekintse meg a januári közlemény összegzésében található Kizsákmányolhatósági indexet. További információ: Microsoft Exploitability Index.
| Érintett szoftver | Az AntiXSS-kódtár megkerülő biztonsági rése – CVE-2012-0007 | Súlyosság összesített minősítése |
|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x és Microsoft Anti-Cross Site Scripting Library V4.0 | Fontos \ Információfeltárás | Fontos |
Az AntiXSS-kódtár megkerülő biztonsági rése – CVE-2012-0007
Információfeltárási biztonsági rés akkor áll fenn, ha a Microsoft AntiXSS(AntiXSS) kódtár helytelenül fertőtleníti a speciálisan létrehozott HTML-t. A biztonsági rést sikeresen kihasználó támadó többhelyes szkriptelést (XSS) hajthat végre egy olyan webhelyen, amely az AntiXSS-kódtárat használja a felhasználó által megadott HTML-kódtár megtisztítására. Ez lehetővé teheti, hogy a támadó rosszindulatú szkriptet adjon át egy fertőtlenítő függvényen keresztül, és közzétehesse azokat az információkat, amelyeket nem kíván közzétenni. Az információk nyilvánosságra hozatalának következményei az információ jellegétől függenek. Vegye figyelembe, hogy ez a biztonsági rés nem teszi lehetővé a támadó számára a kód végrehajtását vagy a támadó felhasználói jogosultságainak közvetlen emelését, de felhasználható olyan információk előállítására, amelyek felhasználhatók az érintett rendszer további veszélyeztetésére tett kísérletek során.
Ha a biztonsági rést a Gyakori biztonsági rések és kitettségek listában szokásos bejegyzésként szeretné megtekinteni, tekintse meg a CVE-2012-0007 című témakört.
Az AntiXSS-kódtár megkerülő biztonsági résének enyhítése – CVE-2012-0007
A kockázatcsökkentés egy alapértelmezett állapotban meglévő beállításra, általános konfigurációra vagy általános ajánlott eljárásra utal, amely csökkentheti a biztonsági rések kihasználásának súlyosságát. Az alábbi enyhítő tényezők hasznosak lehetnek az Ön helyzetében:
- Ez a biztonsági rés csak azOkat a webhelyeket érinti, amelyek az AntiXSS-kódtár fertőtlenítő modulját használják.
Az AntiXSS-kódtár megkerülő biztonsági résének kerülő megoldásai – CVE-2012-0007
A Microsoft nem talált megkerülő megoldást a biztonsági résre.
Gyakori kérdések az AntiXSS-kódtár megkerülő biztonsági rése – CVE-2012-0007
Mi a biztonsági rés hatóköre?
Ez egy információfeltáró biztonsági rés. A biztonsági rést sikeresen kihasználó támadó egy kártevő szkriptet adhat át egy fertőtlenítő függvényen keresztül, és közzéteheti a nem közzéteendő információkat. Vegye figyelembe, hogy ez a biztonsági rés nem teszi lehetővé, hogy a támadó kódot hajthasson végre, vagy közvetlenül emelje a támadó felhasználói jogosultságát, de felhasználható olyan információk gyűjtésére, amelyek felhasználhatók az érintett rendszer további veszélyeztetésére tett kísérletek során.
Mi okozza a biztonsági rést?
A biztonsági rés annak az eredménye, hogy a Microsoft Anti-Cross Site Scripting (AntiXSS) kódtár helytelenül értékel ki bizonyos karaktereket a CSS-feloldott karakter észlelése után.
Mi az Anti-Cross Site Scripting (AntiXSS) kódtár?
A Microsoft Anti-Cross Site Scripting (AntiXSS) kódtár egy kódolási kódtár, amellyel a fejlesztők megvédhetik ASP.NET webalapú alkalmazásaikat az XSS-támadásoktól. Abban különbözik a legtöbb kódolási kódtártól, hogy az XSS-támadások elleni védelem érdekében a fehér listázási technikát (más néven a belefoglalások elvét) használja. Ez a megközelítés úgy működik, hogy először meghatároz egy érvényes vagy engedélyezett karakterkészletet, majd a halmazon kívüli elemeket (érvénytelen karaktereket vagy lehetséges támadásokat) kódolással. A fehér lista megközelítés számos előnnyel jár a többi kódolási sémával szemben.
Mire használhatja a támadó a biztonsági rést?
A biztonsági rést sikeresen kihasználó támadó többhelyes szkriptelést (XSS) hajthat végre egy olyan webhelyen, amely az AntiXSS-kódtárat használja a felhasználó által megadott HTML-kódtár megtisztítására. A támadó ezután átadhat egy rosszindulatú szkriptet egy fertőtlenítő függvényen keresztül, és közzéteheti a nem közzéteendő információkat. Az információk nyilvánosságra hozatalának következményei az információ jellegétől függenek. Vegye figyelembe, hogy ez a biztonsági rés nem teszi lehetővé, hogy a támadó kódot hajthasson végre, vagy közvetlenül emelje a támadó felhasználói jogosultságát, de felhasználható olyan információk gyűjtésére, amelyek felhasználhatók az érintett rendszer további veszélyeztetésére tett kísérletek során.
Hogyan használhatja ki a támadó a biztonsági rést?
A biztonsági rés kihasználásához a támadó speciálisan létrehozott HTML-fájlt küldhet egy célweboldalra, amely az AntiXSS-kódtár fertőtlenítő modulját használja. Ha az AntiXSS-kódtár helytelenül fertőtleníti a HTML-t, a speciálisan létrehozott HTML-ben található rosszindulatú szkriptek futtathatók az érintett webkiszolgálón.
Mely rendszerek vannak elsősorban veszélyben a sebezhetőség miatt?
Az AntiXSS-kódtárat használó webkiszolgálók ki vannak téve ennek a biztonsági résnek.
Mit tesz a frissítés?
A frissítés úgy oldja meg a biztonsági rést, hogy az AntiXSS-kódtárat a biztonsági rés által nem érintett verzióra frissíti.
A biztonsági közlemény kiadásakor nyilvánosságra hozták-e ezt a biztonsági rést?
Szám A Microsoft összehangolt biztonságirés-közzététellel kapott információt erről a biztonsági résről.
A biztonsági közlemény kiadásakor a Microsoft kapott-e jelentést arról, hogy a biztonsági rést kihasználták?
Szám A Microsoft nem kapott információt arról, hogy ezt a biztonsági rést nyilvánosan használták az ügyfelek támadására a biztonsági közlemény eredeti kiadásakor.
Egyéb információk
Köszönetnyilvánítás
A Microsoft köszönetét fejezi ki az alábbiakért, hogy együttműködve segít az ügyfelek védelmében:
- Az IBM Rational Application Security Adi Cohenje az AntiXSS-kódtár megkerülő biztonsági résének jelentéséhez (CVE-2012-0007)
Microsoft Active Protections Program (MAPP)
Az ügyfelek biztonságának javítása érdekében a Microsoft minden havi biztonsági frissítési kiadás előtt sebezhetőségi információkat nyújt a főbb biztonsági szoftverszolgáltatóknak. A biztonsági szoftverszolgáltatók ezt a biztonsági résinformációt felhasználhatják arra, hogy biztonsági szoftvereiken vagy eszközeiken keresztül frissített védelmet nyújtsanak az ügyfeleknek, például víruskereső, hálózati behatolásészlelő rendszerek vagy gazdagépalapú behatolás-megelőzési rendszerek segítségével. Annak megállapításához, hogy az aktív védelem elérhető-e a biztonsági szoftverszolgáltatóktól, keresse fel a programpartnerek által biztosított aktív védelmi webhelyeket a Microsoft Active Protections Program (MAPP) partnerei között.
Támogatás
- Az Egyesült Államokban és Kanadában lévő ügyfelek technikai támogatást kaphatnak a biztonsági támogatástól vagy az 1-866-PCSAFETY-től. A biztonsági frissítésekhez társított támogatási hívások díjmentesek. Az elérhető támogatási lehetőségekről további információt a Microsoft súgójában és támogatásában talál.
- A nemzetközi ügyfelek támogatást kaphatnak helyi Microsoft-leányvállalataiktól. A biztonsági frissítésekhez társított támogatás díjmentes. További információ arról, hogyan léphet kapcsolatba a Microsofttal támogatási problémák esetén, látogasson el a nemzetközi támogatási webhelyre.
Felelősséget kizáró nyilatkozat
A Microsoft Tudásbázisban megadott információk "az adott módon" vannak megadva, semmilyen garancia nélkül. A Microsoft kizár minden kifejezett vagy vélelmezett garanciát, beleértve a kereskedelmi forgalomra és az adott célra való alkalmasságra vonatkozó szavatosságot. A Microsoft Corporation vagy beszállítói semmilyen esetben sem vonhatók felelősségre semmilyen kárért, beleértve a közvetlen, közvetett, járulékos, következményi, üzleti nyereség elvesztését vagy különleges károkat, még akkor sem, ha a Microsoft Corporationt vagy szállítóit értesítették az ilyen károk lehetőségéről. Egyes államok nem teszik lehetővé a következményi vagy járulékos károkért való felelősség kizárását vagy korlátozását, így a fenti korlátozás nem alkalmazható.
Változatok
- 1.0-s verzió (2012. január 10.): Közlemény megjelent.
- V2.0 (2012. január 11.): Bejelentette, hogy az eredeti frissítési csomag, az AntiXSS Library 4.2-es verziója az AntiXSS Library 4.2.1-es verziójára váltott. Az AntiXSS-kódtár minden felhasználójának frissítenie kell az AntiXSS-kódtár 4.2.1-es verziójára, hogy biztosan védve legyenek a jelen közleményben ismertetett biztonsági réstől. További információért tekintse meg a frissítési gyakori kérdéseket.
- 2.1-es verzió (2012. január 16.): Hozzáadta a Microsoft Tudásbázis 2607664 cikkére mutató hivatkozást a vezetői összefoglaló Ismert problémák szakaszában. Emellett a frissítéssel kapcsolatos gyakori kérdések javított bejegyzésével egyértelművé teszi, hogy miért csak a Microsoft Letöltőközpontból érhető el az AntiXSS Library 4.2.1-es verziójára való frissítés.
Készült: 2014-04-18T13:49:36Z-07:00