Boletim de Segurança
Microsoft Security Bulletin MS12-007 - Importante
Vulnerabilidade na AntiXSS Library pode permitir a divulgação não autorizada de informações (2607664)
Publicado: terça-feira, 10 de janeiro de 2012 | Atualizado: January 16, 2012
Versão: 2.1
Informações Gerais
Resumo Executivo
Esta atualização de segurança elimina uma vulnerabilidade relatada em particular na Microsoft Anti-Cross Site Scripting (AntiXSS) Library. A vulnerabilidade pode permitir a divulgação não autorizada de informações se um invasor passar um script mal-intencionado para um site usando a função de limpeza da AntiXSS Library. As consequências da divulgação dessas informações dependem da natureza da própria informação. Observe que essa vulnerabilidade não permitiria que um invasor executasse código ou elevasse os direitos de usuário do invasor diretamente, mas poderia ser usada para produzir informações que poderiam ser usadas para tentar comprometer ainda mais o sistema afetado. Apenas os sites que utilizam o módulo de limpeza da AntiXSS Library são afetados por esta vulnerabilidade.
Esta atualização de segurança é classificada como Importante para a AntiXSS Library V3.x e a AntiXSS Library V4.0. Para obter mais informações, consulte a subseção Software afetado e não afetado, nesta seção.
A atualização elimina a vulnerabilidade atualizando a AntiXSS Library para uma versão que não é afetada pela vulnerabilidade. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas freqüentes para a entrada de vulnerabilidade específica na próxima seção, Informações sobre a vulnerabilidade.
Recomendação. A Microsoft recomenda que os clientes apliquem a atualização o mais rápido possível.
Problemas conhecidos.O Artigo 2607664 da Base de Dados de Conhecimento Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização de segurança. O artigo também documenta as soluções recomendadas para esses problemas.
Software afetado e não afetado
O software a seguir foi testado para determinar quais versões ou edições são afetadas.
Software afetado
| Software | Impacto máximo na segurança | Classificação de gravidade agregada | Boletins substituídos por esta atualização |
|---|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x e Microsoft Anti-Cross Site Scripting Library V4.0[1][2] | Divulgação de Informações | Importante | Nenhuma |
[1]Este download atualiza a Microsoft Anti-Cross Site Scripting (AntiXSS) Library para uma versão mais recente da Microsoft Anti-Cross Site Scripting Library que não é afetada pela vulnerabilidade.
[2]Esta atualização está disponível apenas no Centro de Download da Microsoft. Consulte a próxima secção, Perguntas mais frequentes relacionadas com esta atualização de segurança.
Perguntas frequentes relacionadas a esta atualização de segurança
Por que este boletim foi relançado em11 de janeiro de 2012?
A Microsoft relançou este boletim para anunciar que o pacote de atualização original, AntiXSS Library versão 4.2, foi substituído pelo AntiXSS Library versão 4.2.1. A nova versão resolve um problema de nomenclatura que fazia com que a instalação do pacote de atualização original falhasse em determinadas circunstâncias. Todos os usuários da AntiXSS Library precisarão atualizar para a AntiXSS Library versão 4.2.1 para ajudar a garantir que estejam protegidos contra a vulnerabilidade descrita neste boletim.
Eu sou um desenvolvedor usando aAntiXSSLibrary.Só preciso da atualização no meu sistema?
N.º Os desenvolvedores que usam a AntiXSS Library devem instalar a atualização descrita neste boletim e, em seguida, também implantar a biblioteca atualizada em todos os seus sites ativos que usam a AntiXSS Library.
Esta atualizaçãocontém alterações de funcionalidade relacionadas à segurança?
Sim. Além das alterações listadas na seção Informações sobre a vulnerabilidade deste boletim, a atualização para uma versão mais recente da AntiXSS Library (AntiXSS Library versão 4.2.1) também altera a funcionalidade de como as folhas de estilo em cascata (CSS) são tratadas pela AntiXSS Library. A entrada HTML para o desinfetante que contém estilos, como tags ou atributos, será removida. Para tags de estilo, o conteúdo da tag será deixado para trás. Esse comportamento é consistente com o comportamento de outras tags inválidas.
Como faço para atualizar minha versão daAntiXSSLibrary?
Os clientes podem obter uma versão mais recente da Microsoft Anti-Cross Site Scripting Library (AntiXSS Library versão 4.2.1) que não seja afetada pela vulnerabilidade usando o link de download na tabela Softwares afetados na seção anterior, Softwares afetados e não afetados.
Por que a atualizaçãosó estádisponível no Centro de Download da Microsoft?
A Microsoft está lançando a atualização para a AntiXSS Library somente para o Centro de Download da Microsoft. Como os desenvolvedores implantam a biblioteca atualizada somente em sites ativos que usam a AntiXSS Library, outros métodos de distribuição, como a atualização automática, não são apropriados para esse tipo de cenário de atualização.
Informações sobre a vulnerabilidade
Classificações de gravidade e identificadores de vulnerabilidade
As seguintes classificações de gravidade assumem o potencial impacto máximo da vulnerabilidade. Para obter informações sobre a probabilidade de exploração da vulnerabilidade em relação à sua classificação de gravidade e ao impacto na segurança, dentro de 30 dias após o lançamento deste boletim de segurança, consulte o Índice de Exploração no resumo de boletins de janeiro. Para obter mais informações, consulte Microsoft Exploitability Index.
| Software afetado | Vulnerabilidade de desvio da biblioteca AntiXSS - CVE-2012-0007 | Classificação de gravidade agregada |
|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x e Microsoft Anti-Cross Site Scripting Library V4.0 | Importante \ Divulgação de Informação | Importante |
Vulnerabilidade de desvio da biblioteca AntiXSS - CVE-2012-0007
Existe uma vulnerabilidade de divulgação não autorizada de informações quando a Microsoft Anti-Cross Site Scripting (AntiXSS) Library limpa incorretamente HTML especialmente criado. O invasor que explorar com êxito esta vulnerabilidade poderá executar um ataque de script entre sites (XSS) em um site que esteja usando a AntiXSS Library para limpar o HTML fornecido pelo usuário. Isso pode permitir que um invasor passe um script mal-intencionado por uma função de limpeza e exponha informações que não devem ser divulgadas. As consequências da divulgação desta informação dependem da natureza da própria informação. Observe que essa vulnerabilidade não permitiria que um invasor executasse código ou elevasse os direitos de usuário do invasor diretamente, mas poderia ser usada para produzir informações que poderiam ser usadas na tentativa de comprometer ainda mais o sistema afetado.
Para exibir esta vulnerabilidade como uma entrada padrão na lista Common Vulnerabilities and Exposures, consulte CVE-2012-0007.
Fatores atenuantes da vulnerabilidade de desvio da biblioteca AntiXSS - CVE-2012-0007
A atenuação refere-se a uma definição, configuração comum ou prática recomendada geral, existente num estado predefinido, que pode reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis na sua situação:
- Apenas os sites que utilizam o módulo de limpeza da AntiXSS Library são afetados por esta vulnerabilidade.
Soluções alternativas para a vulnerabilidade de desvio da biblioteca AntiXSS - CVE-2012-0007
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Perguntas frequentes sobre a vulnerabilidade de desvio da biblioteca AntiXSS - CVE-2012-0007
Qual é o âmbito da vulnerabilidade?
Esta é uma vulnerabilidade de divulgação de informações. Um intruso que conseguisse explorar esta vulnerabilidade poderia passar um script malicioso através de uma função de limpeza e expor informações que não se destinavam a ser divulgadas. Observe que essa vulnerabilidade não permitiria que um invasor executasse código ou elevasse os direitos de usuário do invasor diretamente, mas poderia ser usada para coletar informações que poderiam ser usadas na tentativa de comprometer ainda mais o sistema afetado.
O que causa a vulnerabilidade?
A vulnerabilidade é o resultado da Microsoft Anti-Cross Site Scripting (AntiXSS) Library avaliar incorretamente determinados caracteres depois que um caractere com escape CSS é detetado.
O que é a Anti-Cross Site Scripting (AntiXSS) Library?
A Microsoft Anti-Cross Site Scripting (AntiXSS) Library é uma biblioteca de codificação projetada para ajudar os desenvolvedores a proteger seus ASP.NET aplicativos baseados na Web contra ataques XSS. Ele difere da maioria das bibliotecas de codificação porque usa a técnica de lista branca - às vezes referida como o princípio das inclusões - para fornecer proteção contra ataques XSS. Essa abordagem funciona definindo primeiro um conjunto de caracteres válido ou permitido e, em seguida, codificando qualquer coisa fora desse conjunto (caracteres inválidos ou ataques potenciais). A abordagem de lista branca oferece várias vantagens em relação a outros esquemas de codificação.
Para que um invasor pode usar a vulnerabilidade?
O invasor que explorar com êxito esta vulnerabilidade poderá executar um ataque de script entre sites (XSS) em um site que esteja usando a AntiXSS Library para limpar o HTML fornecido pelo usuário. Um invasor pode então passar um script mal-intencionado por meio de uma função de limpeza e expor informações que não devem ser divulgadas. As consequências da divulgação dessas informações dependem da natureza da própria informação. Observe que essa vulnerabilidade não permitiria que um invasor executasse código ou elevasse os direitos de usuário do invasor diretamente, mas poderia ser usada para coletar informações que poderiam ser usadas na tentativa de comprometer ainda mais o sistema afetado.
Como poderia um intruso explorar avulnerabilidade?
Para explorar esta vulnerabilidade, um invasor pode enviar HTML especialmente criado para um site de destino que esteja usando o módulo de limpeza da AntiXSS Library. Quando a AntiXSS Library limpa incorretamente o HTML, scripts mal-intencionados contidos no HTML especialmente criado podem ser executados no servidor Web afetado.
Quais são os sistemas mais suscetíveis a esta vulnerabilidade?
Os servidores Web que utilizam a AntiXSS Library estão em risco devido a esta vulnerabilidade.
O que faz a atualização?
A atualização elimina a vulnerabilidade atualizando a AntiXSS Library para uma versão que não é afetada pela vulnerabilidade.
Quando este boletim de segurança foi emitido, esta vulnerabilidade tinha sido divulgada publicamente?
N.º A Microsoft recebeu informações sobre esta vulnerabilidade através da divulgação coordenada de vulnerabilidades.
Quando este boletim de segurança foi publicado, a Microsoft tinha recebido algum relatório de que esta vulnerabilidade estava a ser explorada?
N.º A Microsoft não tinha recebido qualquer informação que indicasse que esta vulnerabilidade tinha sido utilizada publicamente para atacar clientes quando este boletim de segurança foi publicado originalmente.
Outras informações
Agradecimentos
A Microsoft agradece o seguinte por trabalhar conosco para ajudar a proteger os clientes:
- Adi Cohen, da IBM Rational Application Security , por relatar a Vulnerabilidade de desvio da biblioteca AntiXSS (CVE-2012-0007)
Programa Microsoft Ative Protections (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal de atualização de segurança. Os fornecedores de software de segurança podem então utilizar estas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes através do seu software ou dispositivos de segurança, tais como antivírus, sistemas de deteção de intrusões baseados na rede ou sistemas de prevenção de intrusões baseados em anfitrião. Para determinar se as proteções ativas estão disponíveis nos provedores de software de segurança, visite os sites de proteções ativas fornecidos por parceiros do programa, listados em Parceiros do Microsoft Ative Protections Program (MAPP).
Suporte
- Os clientes nos EUA e Canadá podem receber suporte técnico do Suporte de Segurança ou 1-866-PCSAFETY. Não há cobrança para chamadas de suporte associadas a atualizações de segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. O suporte associado às atualizações de segurança é gratuito. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte, visite o site de Suporte Internacional.
Exclusão de Responsabilidade
As informações fornecidas na Base de Dados de Conhecimento Microsoft são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou incidentais, portanto, a limitação acima pode não se aplicar.
Revisões
- V1.0 (10 de janeiro de 2012): Boletim publicado.
- V2.0 (11 de janeiro de 2012): Anunciado que o pacote de atualização original, AntiXSS Library versão 4.2, foi substituído pelo AntiXSS Library versão 4.2.1. Todos os usuários da AntiXSS Library precisarão atualizar para a AntiXSS Library versão 4.2.1 para ajudar a garantir que estejam protegidos contra a vulnerabilidade descrita neste boletim. Consulte as Perguntas frequentes de atualização para obter mais informações.
- V2.1 (16 de janeiro de 2012): Adicionado um link para o artigo 2607664 da Base de Dados de Conhecimento Microsoft em Problemas conhecidos na Sinopse. Além disso, a entrada revisada nas perguntas frequentes de atualização para esclarecer por que a atualização para a AntiXSS Library versão 4.2.1 só está disponível no Centro de Download da Microsoft.
Construído em 2014-04-18T13:49:36Z-07:00