Biuletyn zabezpieczeń firmy Microsoft MS12-007 - Ważna

Luka w zabezpieczeniach biblioteki AntiXSS może pozwolić na ujawnienie informacji (2607664)

Opublikowano: 10 stycznia 2012 | Zaktualizowano: 16 stycznia 2012

Wersja: 2.1

Informacje ogólne

Streszczenie

Ta aktualizacja zabezpieczeń usuwa jedną lukę w zabezpieczeniach biblioteki AntiXSS (Microsoft Anti-Cross Site Scripting) zgłoszoną przez użytkowników. Luka ta może pozwolić na ujawnienie informacji w przypadku, gdy osoba atakująca przekaże do witryny sieci Web złośliwy skrypt za pomocą funkcji oczyszczania biblioteki AntiXSS. Konsekwencje ujawnienia informacji zależą od ich charakteru. Należy zauważyć, że ta luka nie pozwala osobie atakującej na wykonanie kodu ani bezpośrednie podniesienie poziomu jej praw użytkownika, może jednak zostać wykorzystana do uzyskania informacji przydatnych do dalszego naruszenia integralności zagrożonego systemu. Omawiana luka zagraża tylko witrynom, które korzystają z modułu oczyszczania biblioteki AntiXSS.

Niniejsza aktualizacja zabezpieczeń ma wskaźnik ważności „ważny” dla biblioteki AntiXSS w wersjach 3.x i 4.0. Więcej informacji można znaleźć w podsekcji Programy, których dotyczy problem i programy, których nie dotyczy problem niniejszej sekcji.

Ta aktualizacja eliminuje lukę w zabezpieczeniach poprzez uaktualnienie biblioteki AntiXSS do wersji, która nie jest zagrożona przez lukę. Więcej informacji na temat luki można znaleźć w podsekcji „Często zadawane pytania” w części poświęconej tej luce w następnej sekcji, Informacje o luce w zabezpieczeniach.

Zalecenie. Firma Microsoft zaleca klientom jak najszybsze zastosowanie tej aktualizacji.

Znane problemy. W artykule 2607664 bazy wiedzy Microsoft Knowledge Base udokumentowano znane obecnie problemy, które mogą wystąpić przy instalacji niniejszej aktualizacji zabezpieczeń. Artykuł ten przedstawia również zalecane obejścia tych problemów.

Programy, których dotyczy problem, i programy, których nie dotyczy problem

Oprogramowanie wymienione poniżej zostało przetestowane w celu ustalenia, których wersji dotyczy problem.

Programy, których dotyczy problem

Oprogramowanie	Maksymalny wpływ na bezpieczeństwo	Zbiorczy wskaźnik ważności	Biuletyny zastępowane przez niniejszą aktualizację
Biblioteka AntiXSS w wersjach 3.x i 4.0 firmy MIcrosoft^[1][2]	Ujawnienie informacji	Ważny	Brak

^[1]Ten plik do pobrania uaktualnia bibliotekę AntiXSS (Anti-Cross Site Scripting) firmy Microsoft do nowszej wersji, która nie jest zagrożona przez omawianą lukę.

^[²^]To uaktualnienie jest dostępne tylko w witrynie Centrum pobierania Microsoft.. Zapoznaj się z następną sekcją — Często zadawane pytania dotyczące tej aktualizacji zabezpieczeń.

Często zadawane pytania dotyczące tej aktualizacji zabezpieczeń

Dlaczego niniejszy biuletyn zabezpieczeń został ponownie wydany w dniu 11 stycznia 2012 r.?
Firma Microsoft ponownie opublikowała ten biuletyn, aby poinformować o zastąpieniu oryginalnego pakietu uaktualnień, AntiXSS Library w wersji 4.2, przez pakiet AntiXSS Library w wersji 4.2.1. W nowszej wersji usunięto problem z nazewnictwem, który w określonych sytuacjach powodował niepowodzenie instalacji oryginalnego pakietu uaktualnień. Wszyscy użytkownicy biblioteki AntiXSS będą musieli dokonać uaktualnienia do wersji AntiXSS Library 4.2.1, aby mieć pewność, że są chronieni przed luką w zabezpieczeniach opisaną w niniejszym biuletynie.

Jestem deweloperem, który korzysta z biblioteki AntiXSS. Czy wystarczy, że zainstaluję aktualizację w swoim systemie?
Nie. Deweloperzy, którzy korzystają z biblioteki AntiXSS, powinni zainstalować uaktualnienie opisane w niniejszym biuletynie, a następnie dodatkowo wdrożyć zaktualizowaną bibliotekę AntiXSS we wszystkich aktywnych witrynach, które wykorzystują tę bibliotekę.

Czy to uaktualnienie obejmuje jakiekolwiek zmiany funkcjonalności dotyczące zabezpieczeń?
Tak. Oprócz zmian wymienionych w sekcji Informacje o luce w zabezpieczeniach niniejszego biuletynu uaktualnienie biblioteki AntiXSS do nowszej wersji (AntiXSS Library w wersji 4.2.1) powoduje także zmianę obsługi kaskadowych arkuszy stylów (CSS) przez bibliotekę AntiXSS. Przekazywane do funkcji oczyszczania dane wejściowe HTML zawierające style, takie jak znaczniki lub atrybuty, zostaną skrócone. Zawartość znaczników stylu zostanie porzucona. Takie działanie jest zgodne z zachowaniem wobec innych nieprawidłowych znaczników.

Jak uaktualnić posiadaną wersję biblioteki AntiXSS?
Nowszą wersję biblioteki AntiXSS firmy Microsoft (4.2.1), która nie jest zagrożona przez omawianą lukę, można pobrać za pomocą łącza w tabeli „Programy, których dotyczy problem” w poprzedniej sekcji Programy, których dotyczy problem, i programy, których nie dotyczy problem.

Dlaczego uaktualnienie jest dostępne wyłącznie w witrynie Centrum pobierania Microsoft?
Firma Microsoft publikuje aktualizację biblioteki AntiXSS tylko w witrynie Centrum pobierania Microsoft. Ponieważ deweloperzy powinni wdrożyć zaktualizowaną bibliotekę AntiXSS wyłącznie w aktywnych witrynach, które ją wykorzystują, pozostałe metody rozpowszechniania, takie jak automatyczne aktualizowanie, nie są odpowiednie dla tego typu scenariusza aktualizacji.

Informacje o luce w zabezpieczeniach

Wskaźniki ważności i identyfikatory luk

Wskaźnik ważności luki i maksymalny wpływ na bezpieczeństwo dla oprogramowania, którego dotyczy luka
Programy, których dotyczy problem	Luka w zabezpieczeniach związana z obejściem biblioteki AntiXSS — CVE-2012-0007	Zbiorczy wskaźnik ważności
Biblioteka AntiXSS w wersjach 3.x i 4.0 firmy MIcrosoft	Ważny Ujawnienie informacji	Ważny

Luka w zabezpieczeniach związana z obejściem biblioteki AntiXSS — CVE-2012-0007

Nieprawidłowe oczyszczanie specjalnie spreparowanego kodu HTML przez funkcję biblioteki AntiXSS firmy Microsoft powoduje powstanie luki w zabezpieczeniach. Osoba atakująca, której uda się wykorzystać tę lukę, może przeprowadzić atak z wykorzystaniem skryptów krzyżowych przeciwko witrynie, która używa biblioteki AntiXSS do oczyszczania danych HTML dostarczanych przez użytkowników. W ten sposób osoba atakująca może przekazać złośliwy skrypt za pośrednictwem funkcji oczyszczania i ujawnić informacje, które nie powinny być ujawnione. Konsekwencje ujawnienia informacji zależą od ich charakteru. Należy zauważyć, że ta luka nie pozwala osobie atakującej na wykonanie kodu ani bezpośrednie podniesienie poziomu jej praw użytkownika, może jednak zostać wykorzystana do uzyskania informacji przydatnych do dalszego naruszenia integralności zagrożonego systemu.

Aby wyświetlić tę lukę w zabezpieczeniach jako standardową pozycję na liście znanych luk i zagrożeń, zobacz CVE-2012-0007.

Czynniki ograniczające zagrożenie wynikające z luki w zabezpieczeniach związanej z obejściem biblioteki AntiXSS — CVE-2012-0007

Obejścia problemu spowodowanego przez lukę w zabezpieczeniach związaną z obejściem biblioteki AntiXSS — CVE-2012-0007

Często zadawane pytania dotyczące luki w zabezpieczeniach związanej z obejściem biblioteki AntiXSS — CVE-2012-0007

Jaki zakres obejmuje ta luka?
Ta luka może doprowadzić do ujawnienia informacji. Osoba atakująca, której uda się wykorzystać tę lukę, może przekazać złośliwy skrypt za pośrednictwem funkcji oczyszczania i ujawnić informacje, które nie miały być ujawnione. Należy zauważyć, że ta luka nie pozwala osobie atakującej na wykonanie kodu ani bezpośrednie podniesienie poziomu jej praw użytkownika, może jednak zostać wykorzystana do zgromadzenia informacji przydatnych do dalszego naruszenia integralności zagrożonego systemu.

W jaki sposób powstaje luka?
Luka powstaje, gdy biblioteka AntiXSS (Anti-Cross Site Scripting) firmy Microsoft dokonuje nieprawidłowej oceny pewnych znaków po wykryciu znaku kontrolnego stylów CSS.

Co to jest biblioteka AntiXSS (Anti-Cross Site Scripting)?
Biblioteka AntiXSS firmy Microsoft to biblioteka kodująca, której zadaniem jest ułatwienie deweloperom ochrony aplikacji sieci Web tworzonych przy użyciu technologii ASP.NET przed atakami z wykorzystaniem skryptów krzyżowych. Od większości innych bibliotek kodujących różni ją zastosowanie metody białej listy (czasami zwanej też regułą uwzględniania) do ochrony przed atakami z wykorzystaniem skryptów krzyżowych. W tej metodzie najpierw określany jest zestaw prawidłowych lub dopuszczalnych znaków, a następnie wszystkie nienależące do niego elementy (nieprawidłowe znaki lub dane potencjalnie związane z atakami) są kodowane. W stosunku do innych schematów kodowania metoda białej listy oferuje szereg korzyści.

Jakie mogą być skutki wykorzystania tej luki przez osobę atakującą?
Osoba atakująca, której uda się wykorzystać tę lukę, może przeprowadzić atak z wykorzystaniem skryptów krzyżowych przeciwko witrynie, która używa biblioteki AntiXSS do oczyszczania danych HTML dostarczanych przez użytkowników. Osoba atakująca może wówczas przekazać złośliwy skrypt za pośrednictwem funkcji oczyszczania i ujawnić informacje, które nie powinny być ujawnione. Konsekwencje ujawnienia informacji zależą od ich charakteru. Należy zauważyć, że ta luka nie pozwala osobie atakującej na wykonanie kodu ani bezpośrednie podniesienie poziomu jej praw użytkownika, może jednak zostać wykorzystana do zgromadzenia informacji przydatnych do dalszego naruszenia integralności zagrożonego systemu.

W jaki sposób osoba atakująca może wykorzystać tę lukę?
Osoba atakująca może wykorzystać tę lukę, wysyłając specjalnie spreparowany kod HTML do docelowej witryny sieci Web, która korzysta z modułu oczyszczania biblioteki AntiXSS. Nieprawidłowe oczyszczenie kodu HTML przez bibliotekę AntiXSS może pozwolić na uruchomienie na serwerze sieci Web, którego dotyczy omawiany problem, złośliwego skryptu umieszczonego w specjalnie spreparowanym kodzie HTML.

Jakie systemy są szczególnie narażone na skutki tej luki?
Na skutki tej luki są narażone serwery sieci Web korzystające z biblioteki AntiXSS.

W jaki sposób działa aktualizacja?
Ta aktualizacja eliminuje lukę w zabezpieczeniach poprzez uaktualnienie biblioteki AntiXSS do wersji, która nie jest zagrożona przez lukę.

Czy luka była powszechnie znana w czasie, gdy opublikowano niniejszy biuletyn?
Nie. Firma Microsoft otrzymała informacje o tej luce od współpracujących źródeł.

Czy firma Microsoft otrzymała zgłoszenia o wykorzystaniu luki w czasie, gdy opublikowano niniejszy biuletyn?
Nie. Firma Microsoft przed opublikowaniem niniejszego biuletynu zabezpieczeń nie otrzymała informacji, które wskazywałyby, że luka została publicznie wykorzystana do ataku na systemy klientów.

Inne informacje:

Podziękowania

Firma Microsoft dziękuje wymienionym poniżej organizacjom i osobom za współpracę w dziedzinie ochrony klientów:

Adi Cohen z firmy IBM Rational Application Security, za zgłoszenie luki w zabezpieczeniach związanej z obejściem biblioteki AntiXSS (CVE-2012-0007)

Microsoft Active Protections Program (MAPP)

W celu zwiększenia poziomu bezpieczeństwa swoich klientów firma Microsoft dostarcza informacje na temat luk w zabezpieczeniach największym dostawcom oprogramowania zabezpieczającego przed publikacją comiesięcznej aktualizacji zabezpieczeń. Dzięki informacjom dotyczącym luk w zabezpieczeniach dostawcy oprogramowania zabezpieczającego mogą zaoferować swoim klientom zaktualizowane poprawki za pośrednictwem programów lub urządzeń zabezpieczających np. programów antywirusowych, sieciowych systemów wykrywania włamań lub hostowych systemów zapobiegania włamaniom. Aby sprawdzić, czy dostawcy oprogramowania zabezpieczającego zapewniają aktywną ochronę, odwiedź witryny poszczególnych partnerów programu, których listę znaleźć można w sekcji Microsoft Active Protections Program (MAPP) Partners.

Pomoc techniczna

Klienci mogą uzyskać pomoc techniczną w Biurze Obsługi Klienta Microsoft pod numerem 0 801 802 000 (opłata według stawek Twojego operatora) lub (0-22) 594 19 99 w godzinach od 9:00 do 17:00, od poniedziałku do piątku. Połączenia z działem pomocy technicznej związane z aktualizacjami zabezpieczeń są bezpłatne. Dodatkowe informacje dotyczące możliwości skorzystania z pomocy technicznej można znaleźć w witrynie Pomoc i obsługa techniczna firmy Microsoft.
Klienci międzynarodowi mogą uzyskać pomoc w lokalnych przedstawicielstwach firmy Microsoft. Pomoc techniczna związana z aktualizacjami zabezpieczeń jest bezpłatna. Informacje o sposobie kontaktowania się z pomocą techniczną firmy Microsoft są dostępne w międzynarodowej witrynie sieci Web pomocy technicznej.

Zrzeczenie odpowiedzialności

Informacje w bazie wiedzy Microsoft Knowledge Base są dostarczane „tak jak są” bez jakiejkolwiek gwarancji. Firma Microsoft odrzuca wszelkie gwarancje, wyraźne i dorozumiane, w tym gwarancje dotyczące wartości handlowej i przydatności do określonego celu. Firma Microsoft Corporation ani jej dostawcy w żadnym wypadku nie ponoszą odpowiedzialności za jakiekolwiek szkody, w tym bezpośrednie, pośrednie, przypadkowe, wynikowe, utratę zysków handlowych lub szkody specjalne, nawet jeżeli firmę Microsoft Corporation lub jej dostawców powiadomiono o możliwości zaistnienia takich szkód. W niektórych stanach wyłączenie lub ograniczenie odpowiedzialności za straty wynikowe lub przypadkowe, a więc i powyższe ograniczenia, nie mają zastosowania.

Wersje

Wersja 1.0 (10 stycznia 2012 r.): Opublikowano biuletyn.
Wersja 2.0 (11 stycznia 2012 r.): Poinformowano, że oryginalny pakiet uaktualnień, AntiXSS Library w wersji 4.2, został zastąpiony przez pakiet AntiXSS Library w wersji 4.2.1. Wszyscy użytkownicy biblioteki AntiXSS będą musieli dokonać uaktualnienia do wersji AntiXSS Library 4.2.1, aby mieć pewność, że są chronieni przed luką w zabezpieczeniach opisaną w niniejszym biuletynie. Więcej informacji można znaleźć w sekcji Często zadawane pytania.
Wersja 2.1 (16 stycznia 2012 r.): W części „Znane problemy” sekcji „Streszczenie” dodano łącze do artykułu 2607664 bazy wiedzy Microsoft Knowledge Base. Ponadto w sekcji „Często zadawane pytania” wyjaśniono, dlaczego aktualizacja dla pakietu AntiXSS Library w wersji 4.2.1 jest dostępna wyłącznie w witrynie Centrum pobierania Microsoft.