Microsoft Security Bulletin MS12-007 - Importante
Vulnerabilidade na AntiXSS Library Poderia Permitir Divulgação de Informações (2607664)
Data de publicação: | Updated:
actualizada: 2.1
Informações Gerais
Resumo Executivo
Esta actualização de segurança resolve uma vulnerabilidade comunicada de forma privada na Microsoft Anti-Cross Site Scripting (AntiXSS) Library. A vulnerabilidade poderia permitir divulgação de informações se um intruso transmitisse um script mal intencionado para um Web site utilizando a função de sanitização da AntiXSS Library. As consequências da divulgação dessa informação dependem da natureza da própria informação. Tenha em atenção que a vulnerabilidade não permitiria que um intruso executasse código ou elevasse directamente os direitos de utilizador do intruso, mas poderia ser utilizada para produzir informações que poderiam ser usadas para comprometer ainda mais o sistema afectado. Apenas os sites que utilizam o módulo de sanitização da AntiXSS Library são afectados por esta vulnerabilidade.
Esta actualização de segurança está classificada como Importante para a AntiXSS Library V3.x e para a AntiXSS Library V4.0. Para mais informações consulte a subsecção Software Afectado e Software Não Afectado, nesta secção.
A actualização resolve a vulnerabilidade actualizando a AntiXSS Library para uma versão que não é afectada pela vulnerabilidade. Para mais informações sobre a vulnerabilidade, consulte a subsecção de Perguntas Mais Frequentes (FAQ) quanto à vulnerabilidade específica na secção seguinte, Informações sobre as vulnerabilidades.
Recomendação. A Microsoft recomenda que os clientes instalem esta actualização na primeira oportunidade.
Questões conhecidas. O Artigo 2607664 da Base de Dados de Conhecimento da Microsoft documenta as questões actualmente conhecidas que os clientes podem verificar quando instalam esta actualização de segurança. O artigo também documenta soluções recomendadas para estas questões.
Software Afectado e Software Não Afectado
O software que se segue foi testado para determinar quais as versões ou edições afectadas.
Software Afectado
| Software | Impacto de Segurança Máximo | Classificação de Gravidade Agregada | Boletins Substituídos por esta Actualização |
|---|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x e Microsoft Anti-Cross Site Scripting Library V4.0[1][2] | Divulgação de Informações | Importante | Nenhum |
[1]Esta transferência actualiza a Microsoft Anti-Cross Site Scripting (AntiXSS) Library para uma versão mais recente da Microsoft Anti-Cross Site Scripting Library que não é afectada pela vulnerabilidade.
[2]Esta actualização está disponível apenas a partir do Centro de Transferências da Microsoft. Consulte a próxima secção de Perguntas Mais Frequentes relativas a esta Actualização de Segurança.
Perguntas Mais Frequentes relativas a Esta Actualização de Segurança
Por que razão foi relançado este boletim a 11 de Janeiro de 2012?
A Microsoft relançou este boletim para anunciar que o pacote de actualização original, AntiXSS Library, versão 4.2, foi substituído pela AntiXSS Library, versão 4.2.1. A nova versão resolve uma problema de nomenclatura que fazia que a instalação do pacote de actualização original falhasse em determinadas circunstâncias. Todos os utilizadores da AntiXSS terão de actualizar para a AntiXSS Library, versão 4.2.1 para ajudar a assegurar que se encontram protegidos da vulnerabilidade descrita neste boletim.
Sou um programador que utiliza a AntiXSS Library. Necessito da actualização no meu sistema?
Não. Os programadores que utilizam a AntiXSS Library devem instalar a actualização descrita neste boletim e devem também implementar a biblioteca actualizada em todos os seus Web sites activos que utilizam a AntiXSS Library.
Esta actualização contém outras alterações de segurança em termos de funcionalidade?
Sim. Além das alterações listadas na secção Informações sobre as vulnerabilidades deste boletim, a actualização para uma versão mais recente da AntiXSS Library (AntiXSS Library, versão 4.2.1) também altera a forma como as Folhas de Estilo em Cascata (CSS) são processadas pela AntiXSS Library. A introdução de conteúdo HTML no sanitizador que contenha estilos, como etiquetas ou atributos, será repartida. Para etiquetas de estilo, o conteúdo da etiqueta será ignorado. Este comportamento é consistente com o comportamento para outras etiquetas não válidas.
Como actualizo a minha versão da AntiXSS Library?
Os clientes podem obter uma versão mais recente da Microsoft Anti-Cross Site Scripting Library (AntiXSS Library, versão 4.2.1) que não é afectada pela vulnerabilidade utilizando a ligação de transferência na tabela de Software Afectado na secção anterior, Software Afectado e Software Não Afectado.
Por que razão a actualização apenas está disponível a partir do Centro de Transferências da Microsoft?
A Microsoft está a lançar a actualização para a AntiXSS Library apenas no Centro de Transferências da Microsoft. Porque os programadores implementam a biblioteca actualizada apenas em Web sites activos que utilizam a AntiXSS Library, outros métodos de distribuição, tais como as actualizações automáticas, não são apropriados para este tipo de cenário de actualização.
Informações sobre as Vulnerabilidades
Classificações da Gravidade e Identificadores da Vulnerabilidade
As seguintes classificações de gravidade presumem o potencial impacto máximo da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após a publicação deste boletim de segurança, de exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto de segurança, consulte o Índice de Possibilidade de Exploração no resumo dos boletins de Janeiro. Para obter mais informações, consulte o Índice de Possibilidade de Exploração da Microsoft.
| Software Afectado | Vulnerabilidade em que a AntiXSS Library é Ignorada - CVE-2012-0007 | Classificação de Gravidade Agregada |
|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x e Microsoft Anti-Cross Site Scripting Library V4.0 | Importante Divulgação de Informações | Importante |
Vulnerabilidade em que a AntiXSS Library é Ignorada - CVE-2012-0007
Existe uma Vulnerabilidade de Divulgação de Informações quando a Microsoft Anti-Cross Site Scripting (AntiXSS) Library sanitiza incorrectamente conteúdo HTML especialmente concebido para o efeito. Um intruso que explorasse esta vulnerabilidade com sucesso poderia efectuar um ataque de processamento de scripts entre sites (XSS) num Web site que utiliza a AntiXSS Library para sanitizar o conteúdo HTML fornecido. Isto poderia permitir que um intruso transmitisse um script mal intencionado através de uma função de sanitização e expusesse informações não destinadas a serem divulgadas. As consequências da divulgação desta informação dependem da natureza da própria informação. Tenha em atenção que a vulnerabilidade não permitiria que um intruso executasse código ou elevasse directamente os direitos de utilizador do intruso, mas poderia ser utilizada para produzir informações que poderiam ser usadas numa tentativa de comprometer ainda mais o sistema afectado.
Para visualizar esta vulnerabilidade como uma entrada comum na lista de Vulnerabilidades e Exposições Comuns, consulte CVE-2012-0007.
Factores Atenuantes para a Vulnerabilidade em que a AntiXSS Library é Ignorada - CVE-2012-0007
O factor atenuante refere-se a uma definição, uma configuração comum ou uma prática recomendada geral, que existe num estado predefinido, que poderia reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes factores atenuantes podem ser úteis para a sua situação:
- Apenas os sites que utilizam o módulo de sanitização da AntiXSS Library são afectados por esta vulnerabilidade.
Soluções Alternativas para a Vulnerabilidade em que a AntiXSS Library é Ignorada - CVE-2012-0007
A Microsoft não identificou quaisquer soluções alternativas para esta vulnerabilidade.
Perguntas Mais Frequentes sobre a Vulnerabilidade em que a AntiXSS Library é Ignorada - CVE-2012-0007
Qual é a abrangência desta vulnerabilidade?
Trata-se de uma vulnerabilidade ao nível da divulgação de informações. Um intruso que explorasse esta vulnerabilidade com sucesso poderia transmitir um script mal intencionado através de uma função de sanitização e expor informações não destinadas a serem divulgadas. Tenha em atenção que a vulnerabilidade não permitiria que um intruso executasse código ou elevasse directamente os direitos de utilizador do intruso, mas poderia ser utilizada para reunir informações que poderiam ser usadas numa tentativa de comprometer ainda mais o sistema afectado.
O que provoca a vulnerabilidade?
A vulnerabilidade resulta do facto de a Microsoft Anti-Cross Site Scripting (AntiXSS) Library avaliar incorrectamente determinados caracteres depois de ser detectado um caracter CSS que escapou.
O que é a Anti-Cross Site Scripting (AntiXSS) Library?
A Microsoft Anti-Cross Site Scripting (AntiXSS) Library é uma biblioteca de codificação concebida para ajudar os programadores a protegerem as suas aplicações ASP.NET baseadas na Web contra ataques XSS. Difere da maior parte das bibliotecas de codificação por utilizar a técnica de lista branca, por vezes denominada como princípio de inclusões, para proporcionar protecção contra ataques XSS. Esta abordagem funciona ao definir primeiro um conjunto válido ou permitido de caracteres e, em seguida, por codificar tudo o que se encontrar fora deste conjunto (caracteres inválidos ou potenciais ataques). A abordagem de lista branca apresenta diversas vantagens em relação a outros esquemas de codificação.
Como poderia um intruso utilizar a vulnerabilidade?
Um intruso que explorasse esta vulnerabilidade com sucesso poderia efectuar um ataque de processamento de scripts entre sites (XSS) num Web site que utiliza a AntiXSS Library para sanitizar o conteúdo HTML fornecido. Um intruso poderia então transmitir um script mal intencionado através de uma função de sanitização e expor informações não destinadas a serem divulgadas. As consequências da divulgação dessa informação dependem da natureza da própria informação. Tenha em atenção que a vulnerabilidade não permitiria que um intruso executasse código ou elevasse directamente os direitos de utilizador do intruso, mas poderia ser utilizada para reunir informações que poderiam ser usadas numa tentativa de comprometer ainda mais o sistema afectado.
Como poderia um intruso explorar a vulnerabilidade?
Para explorar esta vulnerabilidade, um intruso poderia enviar conteúdo HTML especialmente concebido para o efeito a um Web site visado que utiliza o módulo de sanitização da AntiXSS Library. Quando a AntiXSS Library sanitiza incorrectamente o conteúdo HTML, o script mal intencionado no conteúdo HTML especialmente concebido para o efeito poderia ser executado no servidor Web afectado.
Quais os sistemas mais susceptíveis a esta vulnerabilidade?
Os servidores Web que utilizam a AntiXSS Library estão susceptíveis a esta vulnerabilidade.
O que faz a actualização?
A actualização resolve a vulnerabilidade actualizando a AntiXSS Library para uma versão que não é afectada pela vulnerabilidade.
Quando este boletim de segurança foi publicado, esta vulnerabilidade já tinha sido divulgada publicamente?
Não. A Microsoft recebeu informações sobre esta vulnerabilidade através de divulgação coordenada de vulnerabilidades.
Quando este boletim de segurança foi publicado, a Microsoft já tinha recebido informações sobre a exploração desta vulnerabilidade?
Não. A Microsoft ainda não tinha recebido informações que indicassem que esta vulnerabilidade tivesse sido utilizada publicamente para atacar clientes, quando este boletim de segurança foi publicado pela primeira vez.
Outras informações
Agradecimentos
A Microsoft agradece às seguintes entidades por trabalharem connosco para proteger os clientes:
- Adi Cohen, da IBM Rational Application Security, por fornecer informações sobre a Vulnerabilidade em que a AntiXSS Library é Ignorada (CVE-2012-0007)
Microsoft Active Protections Program (MAPP)
Assistência
- Os clientes nos E.U.A. e no Canadá podem receber suporte técnico através do Suporte de Segurança ou da linha 1-866-PCSAFETY. As chamadas de suporte técnico associadas a actualizações de segurança são gratuitas. Para obter mais informações sobre as opções de suporte disponíveis, consulte a Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte das subsidiárias locais da Microsoft. O suporte técnico associado às actualizações de segurança é gratuito. Para obter mais informações sobre como contactar a Microsoft relativamente a questões de suporte, visite o Web site de Suporte Internacional.
Exclusão de garantia
As informações fornecidas na Base de Dados de Conhecimento da Microsoft são fornecidas "tal como estão", sem garantias de qualquer tipo. A Microsoft exclui todas as garantias, sejam expressas ou implícitas, incluindo as garantias de comercialização e adequação a um fim específico. Em caso algum serão a Microsoft Corporation ou os seus fornecedores responsáveis por quaisquer prejuízos, incluindo prejuízos directos, indirectos, incidentais ou consequentes, extraordinários ou por perda de lucros negociais, ainda que a Microsoft Corporation ou os seus fornecedores tenham sido notificados da possibilidade de ocorrência de tais prejuízos. A exclusão ou limitação de responsabilidade por prejuízos consequentes ou incidentais não é permitida em alguns estados ou jurisdições, pelo que a limitação supra poderá não ser aplicável.
Revisões
- V1.0 (10 de Janeiro de 2012): Boletim publicado.
- V2.0 (11 de Janeiro de 2012): Anunciado que o pacote de actualização original, AntiXSS Library, versão 4.2, foi substituído pelo AntiXSS Library, versão 4.2.1. Todos os utilizadores da AntiXSS Library terão de actualizar para a AntiXSS Library, versão 4.2.1 para ajudar a assegurar que estão protegidos da vulnerabilidade descrita neste boletim. Consulte as Perguntas Mais Frequentes (FAQs) da actualização para mais informações.
- V2.1 (16 de Janeiro de 2012): Ligação adicionada para o Artigo 2607664 da Base de Dados de Conhecimento da Microsoft, na secção Questões Conhecidas, no Resumo Executivo. Além disso, foi revista a entrada nas perguntas frequentes sobre a actualização para clarificar a razão pela qual a actualização da versão 4.2.1 da AntiXSS Library está disponível apenas a partir do Centro de Transferências da Microsoft.