セキュリティ情報

Microsoft セキュリティ情報 MS12-007 - 重要

公開日: 2012 年 1 月 10 日 |更新日: 2012 年 1 月 16 日

バージョン: 2.1

このセキュリティ更新プログラムは、Microsoft Anti-Cross Site Scripting (AntiXSS) ライブラリで非公開で報告された 1 つの脆弱性を解決します。 この脆弱性により、攻撃者が AntiXSS ライブラリのサニタイズ機能を使用して悪意のあるスクリプトを Web サイトに渡した場合、情報漏えいが起こる可能性があります。 その情報の開示の結果は、情報自体の性質によって異なります。 この脆弱性により、攻撃者はコードを実行したり、攻撃者のユーザー権限を直接昇格させたりすることはできませんが、影響を受けるシステムをさらに侵害しようとする可能性のある情報を生成するために使用される可能性があることに注意してください。 この脆弱性の影響を受けるのは、AntiXSS ライブラリのサニタイズ モジュールを使用するサイトのみです。

このセキュリティ更新プログラムは、AntiXSS ライブラリ V3.x と AntiXSS ライブラリ V4.0 で重要と評価されています。 詳細については、このセクションの「影響を受けるソフトウェア」および「影響を受けるソフトウェア」のサブセクションを参照してください。

この更新プログラムは、AntiXSS ライブラリを脆弱性の影響を受けないバージョンにアップグレードすることで、この脆弱性を解決します。 この脆弱性の詳細については、次のセクション 「脆弱性情報」の下にある特定の脆弱性エントリについてよく寄せられる質問 (FAQ) サブセクションを参照してください。

推奨。 Microsoft では、お客様ができるだけ早い機会に更新プログラムを適用することをお勧めします。

既知の問題。Microsoft サポート技術情報の記事2607664 、このセキュリティ更新プログラムをインストールするときにお客様が経験する可能性がある現在の既知の問題について説明しています。 この記事では、これらの問題に対して推奨される解決策についても説明します。

次のソフトウェアは、影響を受けるバージョンまたはエディションを特定するためにテストされています。

影響を受けるソフトウェア 

^[1]このダウンロードにより、Microsoft Anti-Cross Site Scripting (AntiXSS) ライブラリが、この脆弱性の影響を受けず、新しいバージョンの Microsoft クロス サイト スクリプティング ライブラリにアップグレードされます。

^[2]このアップグレードは、Microsoft ダウンロード センターからのみ入手できます。 このセキュリティ更新プログラムに関連するよく寄せられる質問 (FAQ) の次のセクションを参照してください。

2012 年 1 月 11 日にこのセキュリティ情報が再リリースされた理由
Microsoft はこのセキュリティ情報を再リリースし、元のアップグレード パッケージである AntiXSS Library バージョン 4.2 が AntiXSS Library バージョン 4.2.1 に置き換えられたことをお知らせしました。 新しいバージョンでは、特定の状況で元のアップグレード パッケージのインストールが失敗する原因となった名前付けの問題が解決されます。 AntiXSS ライブラリのすべてのユーザーは、AntiXSS ライブラリ バージョン 4.2.1 にアップグレードして、このセキュリティ情報で説明されている脆弱性から保護されるようにする必要があります。

私は AntiXSS ライブラリを使用している開発者です。自分のシステムに更新プログラムが必要ですか?
いいえ。 AntiXSS ライブラリを使用する開発者は、このセキュリティ情報に記載されているアップグレードをインストールし、更新されたライブラリを、AntiXSS ライブラリを使用するすべてのアクティブな Web サイトに展開する必要があります。

このアップグレードには、機能に対するセキュリティ関連の変更が含まれていますか?
はい。 このセキュリティ情報の「脆弱性情報」セクションに記載されている変更に加えて、新しいバージョンの AntiXSS ライブラリ (AntiXSS ライブラリ バージョン 4.2.1) にアップグレードすると、AntiXSS ライブラリによるカスケード スタイル シート (CSS) の処理方法の機能も変更されます。 タグや属性などのスタイルを含むサニタイザーへの HTML 入力は削除されます。 スタイル タグの場合、タグの内容は残されます。 この動作は、他の無効なタグの動作と一致します。

操作方法バージョンのアップグレードAntiXSSライブラリ
お客様は、前のセクションの「影響を受けるソフトウェア」と「影響を受けなかったソフトウェア」の表にあるダウンロード リンクを使用して、脆弱性の影響を受けなかった新しいバージョンの Microsoft Anti-Cross Site Scripting Library (AntiXSS Library バージョン 4.2.1) を入手できます。

アップグレードはMicrosoft ダウンロード センターからのみ利用できるのはなぜですか?
Microsoft では、AntiXSS ライブラリのアップグレードを Microsoft ダウンロード センターにのみリリースしています。 開発者は、更新されたライブラリを AntiXSS ライブラリを使用するアクティブな Web サイトにのみ展開するため、自動更新などの他の配布方法は、この種類のアップグレード シナリオには適していません。

次の重大度評価は、脆弱性の潜在的な最大影響を想定しています。 このセキュリティ情報のリリースから 30 日以内に、重大度評価とセキュリティへの影響に関連する脆弱性の悪用可能性に関する情報については、1 月のセキュリティ情報の概要にある Exploitability Index を参照してください。 詳細については、「Microsoft Exploitability Index」を参照してください。

Microsoft Anti-Cross Site Scripting (AntiXSS) ライブラリが特別に細工された HTML を誤ってサニタイズすると、情報漏えいの脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、AntiXSS ライブラリを使用してユーザーが提供する HTML をサニタイズしている Web サイトに対してクロスサイト スクリプティング (XSS) 攻撃を実行する可能性があります。 これにより、攻撃者はサニタイズ機能を通じて悪意のあるスクリプトを渡し、開示を意図しない情報を公開する可能性があります。 この情報の開示の結果は、情報自体の性質によって異なります。 この脆弱性により、攻撃者はコードを実行したり、攻撃者のユーザー権限を直接昇格させたりすることはできませんが、影響を受けるシステムをさらに侵害するために使用される可能性のある情報を生成するために使用される可能性があることに注意してください。

この脆弱性を一般的な脆弱性と露出の一覧の標準エントリとして表示するには、CVE-2012-0007 を参照してください。

軽減策とは、既定の状態で存在する設定、一般的な構成、または一般的なベスト プラクティスを指します。これにより、脆弱性の悪用の重大度が低下する可能性があります。 次の軽減要因は、状況に役立つ場合があります。

• この脆弱性の影響を受けるのは、AntiXSS ライブラリのサニタイズ モジュールを使用するサイトのみです。

Microsoft は、この脆弱性の回避策を特定していません。

この脆弱性の範囲は何ですか? 
これは情報漏えいの脆弱性です。 攻撃者がこの脆弱性を悪用した場合、サニタイズ機能を介して悪意のあるスクリプトを渡し、開示を意図しない情報を公開する可能性があります。 この脆弱性により、攻撃者はコードを実行したり、攻撃者のユーザー権限を直接昇格させたりすることはできませんが、影響を受けるシステムをさらに侵害するために使用される可能性のある情報を収集するために使用される可能性があることに注意してください。

この脆弱性の原因は何ですか? 
この脆弱性は、CSS エスケープ文字が検出された後、Microsoft Anti-Cross Site Scripting (AntiXSS) ライブラリが特定の文字を誤って評価した結果です。

アンチクロス サイト スクリプティング (AntiXSS) ライブラリとは 
Microsoft Anti-Cross Site Scripting (AntiXSS) ライブラリは、開発者が XSS 攻撃から ASP.NET Web ベースのアプリケーションを保護できるように設計されたエンコード ライブラリです。 これは、XSS 攻撃に対する保護を提供するために、ホワイト リスト手法 (インクルージョンの原則とも呼ばれる) を使用するという点で、ほとんどのエンコード ライブラリとは異なります。 この方法は、最初に有効または許容できる文字セットを定義してから、このセットの外部 (無効な文字や潜在的な攻撃) をエンコードすることによって機能します。 ホワイト リスト アプローチでは、他のエンコード スキームよりもいくつかの利点があります。

攻撃者はこの脆弱性を使用して何を行う可能性がありますか? 
攻撃者がこの脆弱性を悪用した場合、AntiXSS ライブラリを使用してユーザーが提供する HTML をサニタイズしている Web サイトに対してクロスサイト スクリプティング (XSS) 攻撃を実行する可能性があります。 その後、攻撃者はサニタイズ関数を通じて悪意のあるスクリプトを渡し、開示を意図しない情報を公開する可能性があります。 その情報の開示の結果は、情報自体の性質によって異なります。 この脆弱性により、攻撃者はコードを実行したり、攻撃者のユーザー権限を直接昇格させたりすることはできませんが、影響を受けるシステムをさらに侵害するために使用される可能性のある情報を収集するために使用される可能性があることに注意してください。

攻撃者がこの脆弱性を悪用する方法 
この脆弱性を悪用するために、攻撃者は、AntiXSS ライブラリのサニタイズ モジュールを使用しているターゲット Web サイトに特別に細工された HTML を送信する可能性があります。 AntiXSS ライブラリが HTML を誤ってサニタイズすると、特別に細工された HTML に含まれる悪意のあるスクリプトが、影響を受ける Web サーバーで実行される可能性があります。

どのシステムが主に脆弱性のリスクにさらされていますか? 
この脆弱性により、AntiXSS ライブラリを使用する Web サーバーが危険にさらされます。

更新プログラムは何を行いますか? 
この更新プログラムは、AntiXSS ライブラリを脆弱性の影響を受けないバージョンにアップグレードすることで、この脆弱性を解決します。

このセキュリティ情報が発行されたとき、この脆弱性は一般に公開されていましたか? 
いいえ。 Microsoft は、調整された脆弱性の開示を通じて、この脆弱性に関する情報を受け取りました。

このセキュリティ情報が発行されたとき、Microsoft はこの脆弱性が悪用されたという報告を受け取りましたか? 
いいえ。 マイクロソフトは、このセキュリティ情報が最初に発行されたときに、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。

Microsoft は、お客様を保護するために Microsoft と協力していただきありがとうございます。

• Adi Cohen of IBM Rational Application Security for reporting the AntiXSS Library Bypass Vulnerability (CVE-2012-0007)

お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に更新された保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトを参照してください。

• 米国およびカナダのお客様は、セキュリティ サポートまたは 1-866-PCSAFETY から テクニカル サポート を受けることができます。 セキュリティ更新プログラムに関連付けられているサポート呼び出しには料金はかかりません。 使用可能なサポート オプションの詳細については、Microsoft のヘルプとサポートを参照してください。
• 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 セキュリティ更新プログラムに関連付けられているサポートに対する料金はかかりません。 サポートの問題について Microsoft に問い合わせる方法の詳細については、国際サポート Web サイトを参照してください。

Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく"現状のまま" 提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を放棄します。 Microsoft Corporation またはそのサプライヤーは、Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接的、間接的、付随的、派生的、ビジネス上の利益の損失、または特別な損害を含む一切の損害について一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限は適用されない場合があります。

• V1.0 (2012 年 1 月 10 日): セキュリティ情報が公開されました。
• V2.0 (2012 年 1 月 11 日): 元のアップグレード パッケージ AntiXSS ライブラリ バージョン 4.2 が AntiXSS ライブラリ バージョン 4.2.1 に置き換えられたことを発表しました。 AntiXSS ライブラリのすべてのユーザーは、AntiXSS ライブラリ バージョン 4.2.1 にアップグレードして、このセキュリティ情報で説明されている脆弱性から保護されるようにする必要があります。 詳細については、更新プログラムに関する FAQ を参照してください。
• V2.1 (2012 年 1 月 16 日): エグゼクティブ サマリーの既知の問題の下に、Microsoft サポート技術情報の記事2607664へのリンクを追加しました。 また、AntiXSS ライブラリ バージョン 4.2.1 へのアップグレードが Microsoft ダウンロード センターからのみ利用できる理由を明確にするために、更新プログラムの FAQ のエントリを改訂しました。

ビルド日: 2014-04-18T13:49:36Z-07:00