Beveiligingsbulletin
Microsoft-beveiligingsbulletin MS12-007 - Belangrijk
Beveiligingsprobleem in antixss-bibliotheek kan openbaarmaking van informatie toestaan (2607664)
Gepubliceerd: 10 januari 2012 | Bijgewerkt: 16 januari 2012
Versie: 2.1
Algemene gegevens
Samenvatting
Met deze beveiligingsupdate wordt één beveiligingsprobleem opgelost dat privé is gerapporteerd in de Microsoft Anti-Cross Site Scripting -bibliotheek (AntiXSS). Het beveiligingsprobleem kan openbaarmaking van informatie toestaan als een aanvaller een schadelijk script doorgeeft aan een website met behulp van de opschoningsfunctie van de AntiXSS-bibliotheek. De gevolgen van de openbaarmaking van die informatie zijn afhankelijk van de aard van de informatie zelf. Houd er rekening mee dat dit beveiligingsprobleem een aanvaller niet toestaat om code uit te voeren of de gebruikersrechten van de aanvaller rechtstreeks uit te breiden, maar het kan worden gebruikt om informatie te produceren die kan worden gebruikt om het getroffen systeem verder in gevaar te brengen. Alleen sites die gebruikmaken van de opschoningsmodule van de AntiXSS-bibliotheek, worden beïnvloed door dit beveiligingsprobleem.
Deze beveiligingsupdate heeft de classificatie Belangrijk voor de AntiXSS Library V3.x en de AntiXSS Library V4.0. Zie de subsectie Affected en Non-Affected Software in deze sectie voor meer informatie.
Met de update wordt het beveiligingsprobleem opgelost door de AntiXSS-bibliotheek te upgraden naar een versie die niet wordt beïnvloed door het beveiligingsprobleem. Zie de subsectie Veelgestelde vragen (FAQ) voor de specifieke vermelding van beveiligingsproblemen in de volgende sectie, Informatie over beveiligingsproblemen voor meer informatie over het beveiligingsprobleem.
Aanbeveling. Microsoft raadt klanten aan om de update zo snel mogelijk toe te passen.
Bekende problemen.Microsoft Knowledge Base-artikel 2607664 documenten over de momenteel bekende problemen die klanten kunnen ondervinden bij het installeren van deze beveiligingsupdate. In het artikel worden ook aanbevolen oplossingen voor deze problemen beschreven.
Betrokken en niet-beïnvloede software
De volgende software is getest om te bepalen welke versies of edities worden beïnvloed.
Betrokken software
| Software | Maximale beveiligingsimpact | Classificatie voor cumulatieve ernst | Bulletins vervangen door deze update |
|---|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x en Microsoft Anti-Cross Site Scripting Library V4.0[1][2] | Openbaarmaking van informatie | Belangrijk | Geen |
[1]Met deze download wordt de Microsoft Anti-Cross Site Scripting-bibliotheek (AntiXSS) bijgewerkt naar een nieuwere versie van de Microsoft Anti-Cross Site Scripting Library die niet wordt beïnvloed door het beveiligingsprobleem.
[2]Deze upgrade is alleen beschikbaar via het Microsoft Downloadcentrum. Zie de volgende sectie, Veelgestelde vragen (FAQ) met betrekking tot deze beveiligingsupdate.
Veelgestelde vragen (FAQ) met betrekking tot deze beveiligingsupdate
Waarom werd dit bulletin op11 januari 2012 opnieuw uitgebracht?
Microsoft heeft dit bulletin opnieuw uitgebracht om aan te kondigen dat het oorspronkelijke upgradepakket, AntiXSS Library versie 4.2, is vervangen door AntiXSS Library versie 4.2.1. Met de nieuwe versie wordt een naamgevingsprobleem opgelost waardoor de installatie van het oorspronkelijke upgradepakket in bepaalde omstandigheden mislukt. Alle gebruikers van de AntiXSS-bibliotheek moeten upgraden naar AntiXSS Library versie 4.2.1 om ervoor te zorgen dat ze worden beschermd tegen het beveiligingsprobleem dat in dit bulletin wordt beschreven.
Ik ben een ontwikkelaar die deAntiXSS-bibliotheekgebruikt.Heb ik alleen de update op mijn systeem nodig?
Nee Ontwikkelaars die de AntiXSS-bibliotheek gebruiken, moeten de upgrade installeren die in dit bulletin wordt beschreven en vervolgens ook de bijgewerkte bibliotheek implementeren op alle actieve websites die gebruikmaken van de AntiXSS-bibliotheek.
Bevat dezeupgradebeveiligingsgerelateerde wijzigingen in functionaliteit?
Ja. Naast de wijzigingen die worden vermeld in de sectie Informatie over beveiligingsproblemen van dit bulletin, wordt ook een upgrade uitgevoerd naar een nieuwere versie van de AntiXSS-bibliotheek (AntiXSS Library versie 4.2.1) en wordt de functionaliteit gewijzigd van de manier waarop Trapsgewijze opmaakmodellen (CSS) worden verwerkt door de AntiXSS-bibliotheek. HTML-invoer voor de opschoningsfunctie met stijlen, zoals tags of kenmerken, wordt verwijderd. Voor stijltags blijft de inhoud van de tag achter. Dit gedrag is consistent met het gedrag voor andere ongeldige tags.
Hoe kan ik mijn versie van deAntixss-bibliotheek?
Klanten kunnen een nieuwere versie verkrijgen van de Microsoft Anti-Cross Site Scripting Library (AntiXSS Library versie 4.2.1) die niet wordt beïnvloed door het beveiligingsprobleem met behulp van de downloadkoppeling in de tabel Betrokken software in de eerdere sectie, Betrokken en Niet-beïnvloede software.
Waarom isde upgradealleen beschikbaar via het Microsoft Downloadcentrum?
Microsoft brengt de upgrade voor de AntiXSS-bibliotheek alleen uit naar het Microsoft Downloadcentrum. Omdat ontwikkelaars de bijgewerkte bibliotheek alleen implementeren op actieve websites die gebruikmaken van de AntiXSS-bibliotheek, zijn andere distributiemethoden, zoals automatisch bijwerken, niet geschikt voor dit type upgradescenario.
Informatie over beveiligingsproblemen
Ernstclassificaties en id's voor beveiligingsproblemen
Bij de volgende ernstclassificaties wordt uitgegaan van de mogelijke maximale impact van het beveiligingsprobleem. Voor informatie over de waarschijnlijkheid, binnen 30 dagen na de release van dit beveiligingsbulletin, van de misbruikbaarheid van het beveiligingsprobleem ten opzichte van de ernstclassificatie en beveiligingsimpact, raadpleegt u de Index exploitability in het overzicht van het bulletin van januari. Zie Microsoft Exploitability Index voor meer informatie.
| Betrokken software | Beveiligingsprobleem met antixss-bibliotheek omzeilen - CVE-2012-0007 | Classificatie voor cumulatieve ernst |
|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x en Microsoft Anti-Cross Site Scripting Library V4.0 | Belangrijk \ Openbaarmaking van informatie | Belangrijk |
Beveiligingsprobleem met antixss-bibliotheek omzeilen - CVE-2012-0007
Er bestaat een beveiligingsprobleem met openbaarmaking van informatie wanneer de Microsoft Anti-Cross Site Scripting-bibliotheek (AntiXSS) speciaal gemaakte HTML onjuist opschoont. Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan een XSS-aanval (cross-site scripting) uitvoeren op een website die gebruikmaakt van de AntiXSS-bibliotheek om de door de gebruiker verstrekte HTML te opschonen. Hierdoor kan een aanvaller een schadelijk script doorgeven via een opschoningsfunctie en informatie beschikbaar maken die niet bedoeld is om openbaar te worden gemaakt. De gevolgen van de openbaarmaking van deze informatie zijn afhankelijk van de aard van de informatie zelf. Houd er rekening mee dat dit beveiligingsprobleem een aanvaller niet toestaat om code uit te voeren of de gebruikersrechten van de aanvaller rechtstreeks uit te breiden, maar het kan worden gebruikt om informatie te produceren die kan worden gebruikt bij een poging om het getroffen systeem verder in gevaar te brengen.
Zie CVE-2012-0007 als u dit beveiligingsprobleem wilt weergeven als een standaardvermelding in de lijst met veelvoorkomende beveiligingsproblemen en blootstellingen.
Beperkingsfactoren voor beveiligingsprobleem met AntiXSS-bibliotheek omzeilen - CVE-2012-0007
Risicobeperking verwijst naar een instelling, algemene configuratie of algemene best practice, bestaande in een standaardstatus, die de ernst van de exploitatie van een beveiligingsprobleem kan verminderen. De volgende beperkende factoren kunnen nuttig zijn in uw situatie:
- Alleen sites die gebruikmaken van de opschoningsmodule van de AntiXSS-bibliotheek, worden beïnvloed door dit beveiligingsprobleem.
Tijdelijke oplossingen voor beveiligingsprobleem met antiXSS-bibliotheek omzeilen - CVE-2012-0007
Microsoft heeft geen tijdelijke oplossingen voor dit beveiligingsprobleem geïdentificeerd.
Veelgestelde vragen over beveiligingsproblemen met bypass van AntiXSS-bibliotheken - CVE-2012-0007
Wat is het bereik van het beveiligingsprobleem?
Dit is een beveiligingsprobleem met betrekking tot openbaarmaking van informatie. Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan een schadelijk script doorgeven via een opschoningsfunctie en informatie beschikbaar maken die niet bedoeld is om openbaar te worden gemaakt. Houd er rekening mee dat dit beveiligingsprobleem een aanvaller niet toestaat om code uit te voeren of de gebruikersrechten van de aanvaller rechtstreeks uit te breiden, maar het kan worden gebruikt om informatie te verzamelen die kan worden gebruikt bij een poging om het getroffen systeem verder in gevaar te brengen.
Wat veroorzaakt het beveiligingsprobleem?
Het beveiligingsprobleem is het resultaat van de Microsoft Anti-Cross Site Scripting -bibliotheek (AntiXSS) die bepaalde tekens onjuist evalueert nadat een CSS-escape-teken is gedetecteerd.
Wat is de anti-cross-site scripting (AntiXSS)-bibliotheek?
De Microsoft Anti-Cross Site Scripting -bibliotheek (AntiXSS) is een coderingsbibliotheek die is ontworpen om ontwikkelaars te helpen hun ASP.NET webtoepassingen te beschermen tegen XSS-aanvallen. Het verschilt van de meeste coderingsbibliotheken omdat deze gebruikmaakt van de white-listing-techniek, ook wel het principe van insluitingen genoemd, om bescherming te bieden tegen XSS-aanvallen. Deze benadering werkt door eerst een geldige of toegestane set tekens te definiëren en vervolgens alles buiten deze set te coderen (ongeldige tekens of mogelijke aanvallen). De white-listing-benadering biedt verschillende voordelen ten opzichte van andere coderingsschema's.
Wat kan een aanvaller doen met het beveiligingsprobleem?
Een aanvaller die dit beveiligingsprobleem heeft misbruikt, kan een XSS-aanval (cross-site scripting) uitvoeren op een website die gebruikmaakt van de AntiXSS-bibliotheek om de door de gebruiker verstrekte HTML te opschonen. Een aanvaller kan vervolgens een schadelijk script doorgeven via een opschoningsfunctie en informatie beschikbaar maken die niet bedoeld is om openbaar te worden gemaakt. De gevolgen van de openbaarmaking van die informatie zijn afhankelijk van de aard van de informatie zelf. Houd er rekening mee dat dit beveiligingsprobleem een aanvaller niet toestaat om code uit te voeren of de gebruikersrechten van de aanvaller rechtstreeks uit te breiden, maar het kan worden gebruikt om informatie te verzamelen die kan worden gebruikt bij een poging om het getroffen systeem verder in gevaar te brengen.
Hoe kan een aanvaller misbruik maken van hetbeveiligingsprobleem?
Om dit beveiligingsprobleem te misbruiken, kan een aanvaller speciaal gemaakte HTML verzenden naar een doelwebsite die gebruikmaakt van de opschoningsmodule van de AntiXSS-bibliotheek. Wanneer de AntiXSS-bibliotheek de HTML onjuist opschont, kan schadelijk script in de speciaal gemaakte HTML worden uitgevoerd op de betreffende webserver.
Welke systemen lopen voornamelijk risico op het beveiligingsprobleem?
Webservers die gebruikmaken van de AntiXSS-bibliotheek lopen risico op dit beveiligingsprobleem.
Wat doet de update?
Met de update wordt het beveiligingsprobleem opgelost door de AntiXSS-bibliotheek te upgraden naar een versie die niet wordt beïnvloed door het beveiligingsprobleem.
Wanneer dit beveiligingsbulletin werd uitgegeven, werd dit beveiligingsprobleem openbaar gemaakt?
Nee Microsoft heeft informatie ontvangen over dit beveiligingsprobleem via gecoördineerde openbaarmaking van beveiligingsproblemen.
Toen dit beveiligingsbulletin werd uitgegeven, kreeg Microsoft eventuele meldingen dat dit beveiligingsprobleem werd misbruikt?
Nee Microsoft had geen informatie ontvangen om aan te geven dat dit beveiligingsprobleem openbaar is gebruikt om klanten aan te vallen toen dit beveiligingsbulletin oorspronkelijk werd uitgegeven.
Overige informatie
Erkenningen
Microsoft bedankt voor het werken met ons om klanten te beschermen:
- Adi Cohen van IBM Rational Application Security voor het melden van het beveiligingsprobleem met de AntiXSS Library Bypass (CVE-2012-0007)
Microsoft Active Protections Program (MAPP)
Om de beveiliging voor klanten te verbeteren, biedt Microsoft informatie over beveiligingsproblemen aan belangrijke beveiligingssoftwareproviders voorafgaand aan elke maandelijkse beveiligingsupdaterelease. Beveiligingssoftwareproviders kunnen deze beveiligingsinformatie vervolgens gebruiken om bijgewerkte beveiligingen te bieden aan klanten via hun beveiligingssoftware of -apparaten, zoals antivirussoftware, netwerkgebaseerde inbraakdetectiesystemen of systemen voor inbraakpreventie op basis van een host. Als u wilt bepalen of actieve beveiligingen beschikbaar zijn bij beveiligingssoftwareproviders, gaat u naar de actieve beveiligingswebsites van programmapartners, vermeld in MAPP-partners (Microsoft Active Protections Program).
Ondersteuning
- Klanten in de VS en Canada kunnen technische ondersteuning krijgen van Security Support of 1-866-PCSAFETY. Er worden geen kosten in rekening gebracht voor ondersteuningsaanvragen die zijn gekoppeld aan beveiligingsupdates. Zie Microsoft Help en ondersteuning voor meer informatie over beschikbare ondersteuningsopties.
- Internationale klanten kunnen ondersteuning krijgen van hun lokale Microsoft-dochterondernemingen. Er worden geen kosten in rekening gebracht voor ondersteuning die is gekoppeld aan beveiligingsupdates. Ga naar de website voor internationale ondersteuning voor meer informatie over hoe u contact kunt opnemen met Microsoft voor ondersteuningsproblemen.
Vrijwaring
De informatie in de Microsoft Knowledge Base wordt geleverd zonder enige garantie. Microsoft wijst alle garanties af, hetzij uitdrukkelijk of impliciet, met inbegrip van de garanties van verkoopbaarheid en geschiktheid voor een bepaald doel. In geen geval is Microsoft Corporation of haar leveranciers aansprakelijk voor enige schade, waaronder directe, indirecte, incidentele, gevolgschade, verlies van bedrijfswinst of speciale schade, zelfs als Microsoft Corporation of haar leveranciers op de hoogte zijn gesteld van de mogelijkheid van dergelijke schade. Sommige staten staan de uitsluiting of beperking van aansprakelijkheid voor gevolgschade of incidentele schade niet toe, zodat de voorgaande beperking mogelijk niet van toepassing is.
Revisies
- V1.0 (10 januari 2012): Bulletin gepubliceerd.
- V2.0 (11 januari 2012): Aangekondigd dat het oorspronkelijke upgradepakket, AntiXSS Library versie 4.2, is vervangen door AntiXSS Library versie 4.2.1. Alle gebruikers van de AntiXSS-bibliotheek moeten upgraden naar AntiXSS Library versie 4.2.1 om ervoor te zorgen dat ze worden beschermd tegen het beveiligingsprobleem dat in dit bulletin wordt beschreven. Zie de veelgestelde vragen over updates voor meer informatie.
- V2.1 (16 januari 2012): Er is een koppeling toegevoegd naar het Microsoft Knowledge Base-artikel 2607664 onder Bekende problemen in het samenvattingsoverzicht. Herziene vermelding in de veelgestelde vragen over updates om te verduidelijken waarom de upgrade naar AntiXSS Library versie 4.2.1 alleen beschikbaar is via het Microsoft Downloadcentrum.
Gebouwd op 2014-04-18T13:49:36Z-07:00