Bollettino sulla sicurezza
Microsoft Security Bulletin MS12-007 - Importante
La vulnerabilità nella libreria AntiXSS potrebbe consentire la divulgazione di informazioni (2607664)
Pubblicato: 10 gennaio 2012 | Aggiornato: 16 gennaio 2012
Versione: 2.1
Informazioni generali
Schema riepilogativo
Questo aggiornamento della sicurezza risolve una vulnerabilità segnalata privatamente nella libreria AntiXSS (Microsoft Anti-Cross Site Scripting). La vulnerabilità potrebbe consentire la divulgazione di informazioni se un utente malintenzionato passa uno script dannoso a un sito Web usando la funzione di purificazione della libreria AntiXSS. Le conseguenze della divulgazione di tali informazioni dipendono dalla natura delle informazioni stesse. Si noti che questa vulnerabilità non consente a un utente malintenzionato di eseguire codice o di elevare direttamente i diritti utente dell'utente malintenzionato, ma potrebbe essere usata per produrre informazioni che potrebbero essere usate per tentare di compromettere ulteriormente il sistema interessato. Solo i siti che usano il modulo di purificazione della libreria AntiXSS sono interessati da questa vulnerabilità.
Questo aggiornamento della sicurezza è valutato Importante per la libreria AntiXSS V3.x e la libreria AntiXSS V4.0. Per altre informazioni, vedere la sottosezione, Affected e Non-Affected Software, in questa sezione.
L'aggiornamento risolve la vulnerabilità aggiornando la libreria AntiXSS a una versione non interessata dalla vulnerabilità. Per altre informazioni sulla vulnerabilità, vedere la sottosezione Domande frequenti per la voce di vulnerabilità specifica nella sezione successiva Informazioni sulla vulnerabilità.
Elemento consigliato. Microsoft consiglia ai clienti di applicare l'aggiornamento alla prima opportunità.
Problemi noti.L'articolo della Microsoft Knowledge Base 2607664 documenta i problemi attualmente noti che i clienti potrebbero riscontrare durante l'installazione di questo aggiornamento della sicurezza. L'articolo illustra anche le soluzioni consigliate per questi problemi.
Software interessato e non interessato
Il software seguente è stato testato per determinare quali versioni o edizioni sono interessate.
Software interessato
| Software | Impatto massimo sulla sicurezza | Valutazione della gravità aggregata | Bollettini sostituiti da questo aggiornamento |
|---|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x e Microsoft Anti-Cross Site Scripting Library V4.0[1][2] | Diffusione di informazioni | Importante | None |
[1]Questo download aggiorna Microsoft Anti-Cross Site Scripting (AntiXSS) Library a una versione più recente della libreria microsoft anti-cross site scripting che non è interessata dalla vulnerabilità.
[2]Questo aggiornamento è disponibile solo nell'Area download Microsoft. Vedere la sezione successiva, Domande frequenti correlate a questo aggiornamento della sicurezza.
Domande frequenti relative a questo aggiornamento della sicurezza
Perché questo bollettino è stato ripubblicato il11 gennaio 2012?
Microsoft ha rilasciato questo bollettino per annunciare che il pacchetto di aggiornamento originale, La libreria AntiXSS versione 4.2, è stato sostituito con la libreria AntiXSS versione 4.2.1. La nuova versione risolve un problema di denominazione che causava l'esito negativo dell'installazione del pacchetto di aggiornamento originale in determinate circostanze. Tutti gli utenti della libreria AntiXSS dovranno eseguire l'aggiornamento alla libreria AntiXSS versione 4.2.1 per assicurarsi che siano protetti dalla vulnerabilità descritta in questo bollettino.
Io sono uno sviluppatore che usa lalibreria AntiXSS.È sufficiente l'aggiornamento nel sistema?
No. Gli sviluppatori che usano la libreria AntiXSS devono installare l'aggiornamento descritto in questo bollettino e quindi distribuire la libreria aggiornata in tutti i siti Web attivi che usano la libreria AntiXSS.
Questoaggiornamentocontiene modifiche alla funzionalità correlate alla sicurezza?
Sì. Oltre alle modifiche elencate nella sezione Informazioni sulla vulnerabilità di questo bollettino, l'aggiornamento a una versione più recente della libreria AntiXSS (libreria AntiXSS versione 4.2.1) cambia anche la funzionalità del modo in cui i fogli di stile css (Cascading Style Sheets) vengono gestiti dalla libreria AntiXSS. L'input HTML per il purificatore che contiene stili, ad esempio tag o attributi, verrà rimosso. Per i tag di stile, il contenuto del tag verrà lasciato indietro. Questo comportamento è coerente con il comportamento per altri tag non validi.
Ricerca per categorie aggiornare la versione diLibreria AntiXSS?
I clienti possono ottenere una versione più recente della libreria microsoft anti-cross site scripting library (AntiXSS Library versione 4.2.1) che non è interessata dalla vulnerabilità usando il collegamento di download nella tabella Software interessato nella sezione precedente, Affected e Non-Affected Software.
Perché l'aggiornamentoèdisponibile solo dall'Area download Microsoft?
Microsoft sta rilasciando l'aggiornamento per la libreria AntiXSS solo nell'Area download Microsoft. Poiché gli sviluppatori distribuiscono la libreria aggiornata solo in siti Web attivi che usano la libreria AntiXSS, altri metodi di distribuzione, ad esempio l'aggiornamento automatico, non sono appropriati per questo tipo di scenario di aggiornamento.
Informazioni sulla vulnerabilità
Classificazioni di gravità e identificatori di vulnerabilità
Le classificazioni di gravità seguenti presuppongono il potenziale impatto massimo della vulnerabilità. Per informazioni sulla probabilità, entro 30 giorni dal rilascio di questo bollettino sulla sicurezza, della sfruttabilità della vulnerabilità in relazione alla classificazione di gravità e all'impatto sulla sicurezza, vedere l'indice di exploit nel riepilogo del bollettino di gennaio. Per altre informazioni, vedere Microsoft Exploitability Index.
| Software interessato | Vulnerabilità di bypass della libreria AntiXSS - CVE-2012-0007 | Valutazione della gravità aggregata |
|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x e Microsoft Anti-Cross Site Scripting Library V4.0 | Importante \ Divulgazione di informazioni | Importante |
Vulnerabilità di bypass della libreria AntiXSS - CVE-2012-0007
Esiste una vulnerabilità di divulgazione di informazioni quando la libreria AntiXSS (Microsoft Anti-Cross Site Scripting) sanifica in modo non corretto html appositamente creato. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire un attacco XSS (Cross-Site Scripting) su un sito Web che usa la libreria AntiXSS per sanificare il codice HTML fornito dall'utente. Ciò potrebbe consentire a un utente malintenzionato di passare uno script dannoso tramite una funzione di purificazione ed esporre informazioni non destinate a essere divulgate. Le conseguenze della divulgazione di tali informazioni dipendono dalla natura delle informazioni stesse. Si noti che questa vulnerabilità non consente a un utente malintenzionato di eseguire codice o di elevare direttamente i diritti utente dell'utente dell'utente malintenzionato, ma potrebbe essere usata per produrre informazioni che potrebbero essere usate per tentare di compromettere ulteriormente il sistema interessato.
Per visualizzare questa vulnerabilità come voce standard nell'elenco Vulnerabilità ed esposizioni comuni, vedere CVE-2012-0007.
Fattori di mitigazione della vulnerabilità di bypass della libreria AntiXSS - CVE-2012-0007
La mitigazione si riferisce a un'impostazione, a una configurazione comune o a una procedura consigliata generale, esistente in uno stato predefinito, che potrebbe ridurre la gravità dello sfruttamento di una vulnerabilità. I fattori di mitigazione seguenti possono essere utili nella situazione:
- Solo i siti che usano il modulo di purificazione della libreria AntiXSS sono interessati da questa vulnerabilità.
Soluzioni alternative per la vulnerabilità di bypass della libreria AntiXSS - CVE-2012-0007
Microsoft non ha identificato soluzioni alternative per questa vulnerabilità.
Domande frequenti sulla vulnerabilità di bypass della libreria AntiXSS - CVE-2012-0007
Qual è l'ambito della vulnerabilità?
Si tratta di una vulnerabilità di divulgazione di informazioni. Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe passare uno script dannoso tramite una funzione di purificazione ed esporre informazioni non destinate a essere divulgate. Si noti che questa vulnerabilità non consente a un utente malintenzionato di eseguire codice o di elevare direttamente i diritti utente dell'utente dell'utente malintenzionato, ma potrebbe essere usata per raccogliere informazioni che potrebbero essere usate nel tentativo di compromettere ulteriormente il sistema interessato.
Che cosa causa la vulnerabilità?
La vulnerabilità è il risultato della libreria AntiXSS (Microsoft Anti-Cross Site Scripting) che valuta erroneamente determinati caratteri dopo che viene rilevato un carattere di escape CSS.
Che cos'è la libreria Anti-Cross Site Scripting (AntiXSS)?
La libreria Microsoft Anti-Cross Site Scripting (AntiXSS) è una libreria di codifica progettata per aiutare gli sviluppatori a proteggere i propri ASP.NET applicazioni basate sul Web da attacchi XSS. Differisce dalla maggior parte delle librerie di codifica in quanto usa la tecnica di inserimento elementi consentiti, talvolta definita principio delle inclusioni, per fornire protezione dagli attacchi XSS. Questo approccio funziona definendo prima un set di caratteri valido o consentito e quindi codificando qualsiasi elemento al di fuori di questo set (caratteri non validi o potenziali attacchi). L'approccio di inserimento nell'elenco elementi consentiti offre diversi vantaggi rispetto ad altri schemi di codifica.
Cosa può fare un utente malintenzionato che usa la vulnerabilità?
Un utente malintenzionato che ha sfruttato correttamente questa vulnerabilità potrebbe eseguire un attacco XSS (Cross-Site Scripting) su un sito Web che usa la libreria AntiXSS per sanificare il codice HTML fornito dall'utente. Un utente malintenzionato potrebbe quindi passare uno script dannoso tramite una funzione di purificazione ed esporre informazioni non destinate a essere divulgate. Le conseguenze della divulgazione di tali informazioni dipendono dalla natura delle informazioni stesse. Si noti che questa vulnerabilità non consente a un utente malintenzionato di eseguire codice o di elevare direttamente i diritti utente dell'utente dell'utente malintenzionato, ma potrebbe essere usata per raccogliere informazioni che potrebbero essere usate nel tentativo di compromettere ulteriormente il sistema interessato.
In che modo un utente malintenzionato potrebbe sfruttare lavulnerabilità?
Per sfruttare questa vulnerabilità, un utente malintenzionato potrebbe inviare codice HTML appositamente creato a un sito Web di destinazione che usa il modulo di purificazione della libreria AntiXSS. Quando la libreria AntiXSS sanifica erroneamente il codice HTML, è possibile eseguire script dannosi contenuti nel codice HTML appositamente creato nel server Web interessato.
Quali sistemi sono principalmente a rischio dalla vulnerabilità?
I server Web che usano la libreria AntiXSS sono a rischio per questa vulnerabilità.
Cosa fa l'aggiornamento?
L'aggiornamento risolve la vulnerabilità aggiornando la libreria AntiXSS a una versione non interessata dalla vulnerabilità.
Quando è stato pubblicato questo bollettino sulla sicurezza, questa vulnerabilità è stata divulgata pubblicamente?
No. Microsoft ha ricevuto informazioni su questa vulnerabilità tramite la divulgazione coordinata delle vulnerabilità.
Quando è stato emesso questo bollettino sulla sicurezza, Microsoft ha ricevuto eventuali segnalazioni che questa vulnerabilità è stata sfruttata?
No. Microsoft non ha ricevuto informazioni per indicare che questa vulnerabilità era stata usata pubblicamente per attaccare i clienti quando questo bollettino sulla sicurezza è stato originariamente rilasciato.
Altre informazioni
Riconoscimenti
Microsoft ringrazia quanto segue per collaborare a proteggere i clienti:
- Adi Watson di IBM Rational Application Security per segnalare la vulnerabilità di bypass della libreria AntiXSS (CVE-2012-0007)
Microsoft Active Protections Program (MAPP)
Per migliorare le protezioni di sicurezza per i clienti, Microsoft fornisce informazioni sulle vulnerabilità ai principali provider di software di sicurezza in anticipo di ogni versione mensile dell'aggiornamento della sicurezza. I provider di software di sicurezza possono quindi usare queste informazioni sulla vulnerabilità per fornire protezioni aggiornate ai clienti tramite il software o i dispositivi di sicurezza, ad esempio antivirus, sistemi di rilevamento delle intrusioni basati sulla rete o sistemi di prevenzione delle intrusioni basati su host. Per determinare se le protezioni attive sono disponibili dai provider di software di sicurezza, visitare i siti Web di protezione attivi forniti dai partner del programma, elencati in Microsoft Active Protections Program (MAPP).
Supporto tecnico
- I clienti negli Stati Uniti e in Canada possono ricevere supporto tecnico dal supporto per la sicurezza o da 1-866-PCSAFETY. Non sono previsti addebiti per le chiamate di supporto associate agli aggiornamenti della sicurezza. Per altre informazioni sulle opzioni di supporto disponibili, vedere Guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Non è previsto alcun addebito per il supporto associato agli aggiornamenti della sicurezza. Per altre informazioni su come contattare Microsoft per problemi di supporto, visitare il sito Web del supporto internazionale.
Dichiarazione di non responsabilità
Le informazioni fornite nella Microsoft Knowledge Base vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni
- V1.0 (10 gennaio 2012): Bollettino pubblicato.
- V2.0 (11 gennaio 2012): annunciato che il pacchetto di aggiornamento originale, La libreria AntiXSS versione 4.2, è stata sostituita con la libreria AntiXSS versione 4.2.1. Tutti gli utenti della libreria AntiXSS dovranno eseguire l'aggiornamento alla libreria AntiXSS versione 4.2.1 per assicurarsi che siano protetti dalla vulnerabilità descritta in questo bollettino. Per altre informazioni, vedere le domande frequenti sull'aggiornamento.
- V2.1 (16 gennaio 2012): aggiunta di un collegamento all'articolo della Microsoft Knowledge Base 2607664 in Problemi noti nel riepilogo esecutivo. Inoltre, la voce rivista nelle domande frequenti sull'aggiornamento per chiarire perché l'aggiornamento alla libreria AntiXSS versione 4.2.1 è disponibile solo dall'Area download Microsoft.
Costruito al 2014-04-18T13:49:36Z-07:00