Бюллетень по безопасности
Бюллетень по безопасности Майкрософт MS12-007 — важно
Уязвимость в библиотеке AntiXSS может разрешить раскрытие информации (2607664)
Опубликовано: 10 января 2012 г. | Обновлено: 16 января 2012 г.
Версия: 2.1
Общие сведения
Краткий обзор
Это обновление системы безопасности разрешает одну частную уязвимость в библиотеке microsoft Anti-Cross Site Scripting (AntiXSS). Уязвимость может разрешить раскрытие информации, если злоумышленник передает вредоносный скрипт на веб-сайт с помощью функции очистки библиотеки AntiXSS. Последствия раскрытия этой информации зависят от характера самой информации. Обратите внимание, что эта уязвимость не позволит злоумышленнику выполнять код или напрямую повысить права пользователя злоумышленника, но его можно использовать для создания информации, которая может использоваться для дальнейшего компрометации затронутой системы. Эта уязвимость затрагивает только сайты, использующие модуль очистки библиотеки AntiXSS.
Это обновление безопасности оценивается как важно для библиотеки AntiXSS версии 3.x и библиотеки AntiXSS версии 4.0. Дополнительные сведения см. в подразделе " Затронутое и не затронутое программное обеспечение" в этом разделе.
Обновление устраняет уязвимость, обновив библиотеку AntiXSS до версии, не затронутой уязвимостью. Дополнительные сведения об уязвимости см. в подразделе часто задаваемых вопросов (часто задаваемых вопросов) для конкретной записи уязвимости в следующем разделе: сведения об уязвимостях.
Рекомендация. Корпорация Майкрософт рекомендует клиентам применять обновление при первой возможности.
Известные проблемы.Статья базы знаний Майкрософт 2607664 документы о известных проблемах, которые могут возникнуть у клиентов при установке этого обновления безопасности. В этой статье также описаны рекомендуемые решения для этих проблем.
Затронутое и не затронутое программное обеспечение
Следующее программное обеспечение было проверено, чтобы определить, какие версии или выпуски затронуты.
Затронутого программного обеспечения
| Программное обеспечение. | Максимальное влияние на безопасность | Оценка серьезности агрегата | Бюллетени, замененные этим обновлением |
|---|---|---|---|
| Библиотека сценариев microsoft anti-Cross Site Scripting версии 3.x и библиотека сценариев защиты от кросс-сайта Майкрософт версии 4.0[1][2] | Раскрытие информации | Внимание | нет |
[1]Это скачивание обновляет библиотеку сценариев microsoft Anti-Cross Site Scripting (AntiXSS) до более новой версии библиотеки сценариев Защиты от сайта Майкрософт, которая не влияет на уязвимость.
[2]Это обновление доступно только в Центре загрузки Майкрософт. См. следующий раздел: часто задаваемые вопросы и ответы, связанные с этим обновлением системы безопасности.
Часто задаваемые вопросы и ответы, связанные с этим обновлением системы безопасности
Почему этот бюллетень повторился11 января 2012 года?
Корпорация Майкрософт повторила этот бюллетень, чтобы сообщить о том, что исходный пакет обновления, библиотека AntiXSS версии 4.2, заменена библиотекой AntiXSS версии 4.2.1. Новая версия устраняет проблему именования, которая привела к сбою установки исходного пакета обновления в определенных обстоятельствах. Всем пользователям библиотеки AntiXSS потребуется обновить библиотеку AntiXSS версии 4.2.1 , чтобы обеспечить защиту от уязвимости, описанной в этом бюллетене.
Я разработчик с помощью библиотекиAntiXSS.Требуется ли только обновление системы?
№ Разработчики, использующие библиотеку AntiXSS, должны установить обновление, описанное в этом бюллетене, а затем развернуть обновленную библиотеку на всех активных веб-сайтах, использующих библиотеку AntiXSS.
Содержит ли этообновлениекакие-либо изменения, связанные с безопасностью, в функциональных возможностях?
Да. Помимо изменений, перечисленных в разделе сведений об уязвимостях этого бюллетеня, обновление до более новой версии библиотеки AntiXSS (библиотека AntiXSS версии 4.2.1) также изменяет функциональные возможности обработки каскадных таблиц стилей (CSS) библиотекой AntiXSS. Входные данные HTML для санитизатора, содержащего стили, такие как теги или атрибуты, будут лишены. Для тегов стилей содержимое тега останется позади. Это поведение соответствует поведению других недопустимых тегов.
Разделы справки обновить мою версиюБиблиотека antixss?
Клиенты могут получить более новую версию библиотеки сценариев защиты от перекрестного сайта (библиотека AntiXSS версии 4.2.1), которая не влияет на уязвимость, используя ссылку на скачивание в таблице "Затронутое программное обеспечение" в предыдущем разделе", "Затронутое и не затронутое программное обеспечение".
Почему обновлениедоступно только в Центре загрузки Майкрософт?
Корпорация Майкрософт выпускает обновление для библиотеки AntiXSS только в Центре загрузки Майкрософт. Так как разработчики развертывают обновленную библиотеку только на активные веб-сайты, использующие библиотеку AntiXSS, другие методы распространения, такие как автоматическое обновление, не подходят для этого типа сценария обновления.
Сведения об уязвимостях
Оценки серьезности и идентификаторы уязвимостей
Следующие оценки серьезности предполагают потенциальное максимальное влияние уязвимости. Сведения о вероятности, в течение 30 дней после выпуска этого бюллетеня по безопасности, о эксплойтации уязвимости в отношении его оценки серьезности и влияния на безопасность, см. в сводке по индексу эксплойтации в январе бюллетеня. Дополнительные сведения см. в разделе "Индекс эксплойтации Майкрософт".
| Затронутого программного обеспечения | Уязвимость обхода библиотеки AntiXSS — CVE-2012-0007 | Оценка серьезности агрегата |
|---|---|---|
| Библиотека сценариев microsoft anti-Cross Site Scripting версии 3.x и библиотека сценариев защиты от кросс-сайтов Майкрософт версии 4.0 | Важно \ Раскрытие информации | Важно! |
Уязвимость обхода библиотеки AntiXSS — CVE-2012-0007
Уязвимость раскрытия информации существует, когда библиотека сценариев microsoft anti-Cross Site Scripting (AntiXSS) неправильно очищает специально созданный HTML. Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить атаку на веб-сайт, использующий библиотеку AntiXSS для очистки предоставленного пользователем HTML- кода. Это может позволить злоумышленнику передавать вредоносный скрипт через функцию очистки и предоставлять информацию, не предназначенную для раскрытия. Последствия раскрытия этой информации зависят от характера самой информации. Обратите внимание, что эта уязвимость не позволит злоумышленнику выполнять код или напрямую повысить права пользователя злоумышленника, но его можно использовать для создания информации, которая может использоваться при попытке дальнейшего компрометации затронутой системы.
Чтобы просмотреть эту уязвимость как стандартную запись в списке распространенных уязвимостей и уязвимостей, см. в разделе CVE-2012-0007.
Устранение факторов для уязвимости обхода библиотеки AntiXSS — CVE-2012-0007
Устранение рисков ссылается на параметр, общую конфигурацию или общую рекомендацию, существующую в состоянии по умолчанию, которая может снизить серьезность эксплуатации уязвимости. В вашей ситуации могут оказаться полезными следующие факторы устранения рисков:
- Эта уязвимость затрагивает только сайты, использующие модуль очистки библиотеки AntiXSS.
Обходные решения для обходной уязвимости библиотеки AntiXSS — CVE-2012-0007
Корпорация Майкрософт не определила обходные пути для этой уязвимости.
Часто задаваемые вопросы об обходе библиотеки AntiXSS — CVE-2012-0007
Что такое область уязвимости?
Это уязвимость раскрытия информации. Злоумышленник, который успешно воспользовался этой уязвимостью, может передать вредоносный скрипт через функцию очистки и предоставить информацию, не предназначенную для раскрытия. Обратите внимание, что эта уязвимость не позволит злоумышленнику выполнять код или напрямую повысить права пользователя злоумышленника, но его можно использовать для сбора информации, которую можно использовать при попытке дальнейшего компрометации затронутой системы.
Что вызывает уязвимость?
Уязвимость является результатом неправильной оценки определенных символов после обнаружения экранированного символа CSS библиотеки сценариев (AntiXSS).
Что такое библиотека сценариев для защиты от межсайтовых сайтов (AntiXSS) ?
Библиотека сценариев microsoft anti-Cross Site Scripting (AntiXSS) — это библиотека кодирования, предназначенная для защиты своих ASP.NET веб-приложений от атак XSS. Он отличается от большинства библиотек кодирования в том, что он использует метод белого перечисления , иногда называемый принципом включения , чтобы обеспечить защиту от атак XSS. Этот подход работает, сначала определяя допустимый или допустимый набор символов, а затем кодируя все, что находится за пределами этого набора (недопустимые символы или потенциальные атаки). Подход к описанию в белом списке предоставляет несколько преимуществ по сравнению с другими схемами кодирования.
Что может сделать злоумышленник?
Злоумышленник, который успешно воспользовался этой уязвимостью, может выполнить атаку на веб-сайт, использующий библиотеку AntiXSS для очистки предоставленного пользователем HTML- кода. Затем злоумышленник может передать вредоносный скрипт через функцию очистки и предоставить информацию, не предназначенную для раскрытия. Последствия раскрытия этой информации зависят от характера самой информации. Обратите внимание, что эта уязвимость не позволит злоумышленнику выполнять код или напрямую повысить права пользователя злоумышленника, но его можно использовать для сбора информации, которую можно использовать при попытке дальнейшего компрометации затронутой системы.
Как злоумышленник может воспользоваться уязвимостью?
Чтобы воспользоваться этой уязвимостью, злоумышленник может отправить специально созданный HTML-код на целевой веб-сайт, использующий модуль очистки библиотеки AntiXSS. Если библиотека AntiXSS неправильно очищает HTML, вредоносный скрипт, содержащийся в специально созданном HTML,может быть запущен на затронутом веб-сервере.
Какие системы в первую очередь подвергаются риску от уязвимости?
Веб-серверы, использующие библиотеку AntiXSS, подвергаются риску от этой уязвимости.
Что делает обновление?
Обновление устраняет уязвимость, обновив библиотеку AntiXSS до версии, не затронутой уязвимостью.
Когда был опубликован этот бюллетень по безопасности, была ли эта уязвимость публично раскрыта?
№ Корпорация Майкрософт получила информацию об этой уязвимости через согласованное раскрытие уязвимостей.
Когда был выпущен этот бюллетень по безопасности, корпорация Майкрософт получила какие-либо отчеты об использовании этой уязвимости?
№ Корпорация Майкрософт не получила никакой информации, чтобы указать, что эта уязвимость была публично использована для атак клиентов при первоначальном выпуске этого бюллетеня по безопасности.
Другие сведения
Благодарности
Корпорация Майкрософт благодарит нас за то, что мы работаем над защитой клиентов:
- Adi Cohen ibm Rational Application Security для отчетности об уязвимости обхода библиотеки AntiXSS (CVE-2012-0007)
Программа Microsoft Active Protections (MAPP)
Чтобы повысить защиту безопасности для клиентов, корпорация Майкрософт предоставляет сведения об уязвимостях основным поставщикам программного обеспечения безопасности перед каждым ежемесячным выпуском обновления безопасности. Затем поставщики программного обеспечения безопасности могут использовать эту информацию об уязвимости, чтобы обеспечить обновленную защиту для клиентов с помощью своего программного обеспечения или устройств, таких как антивирусная программа, сетевые системы обнаружения вторжений или системы предотвращения вторжений на основе узлов. Чтобы определить, доступны ли активные защиты от поставщиков программного обеспечения безопасности, посетите веб-сайты активных защиты, предоставляемые партнерами программы, перечисленные в программах Microsoft Active Protections Program (MAPP).
Поддержка
- Клиенты в США и Канаде могут получать техническую поддержку от службы поддержки безопасности или 1-866-PCSAFETY. Плата за вызовы поддержки, связанные с обновлениями безопасности, не взимается. Дополнительные сведения о доступных вариантах поддержки см. в справке и поддержке Майкрософт.
- Международные клиенты могут получать поддержку от своих местных дочерних компаний Майкрософт. Плата за поддержку, связанную с обновлениями безопасности, не взимается. Дополнительные сведения о том, как обратиться в корпорацию Майкрософт за вопросами поддержки, перейдите на веб-сайт международной поддержки.
Заявление об отказе
Сведения, предоставленные в Базе знаний Майкрософт, предоставляются "как есть" без каких-либо гарантий. Корпорация Майкрософт отказывается от всех гарантий, явных или подразумеваемых, включая гарантии торговых возможностей и соответствия определенной цели. В любом случае корпорация Майкрософт или ее поставщики не несут ответственности за любые убытки, включая прямые, косвенные, случайные, косвенные, косвенные, следовательно, потерю прибыли или специальные убытки, даже если корпорация Майкрософт или ее поставщики были уведомлены о возможности таких повреждений. Некоторые государства не разрешают исключение или ограничение ответственности за последующие или случайные убытки, поэтому не может применяться ограничение.
Редакции
- Версия 1.0 (10 января 2012 г.): бюллетень опубликован.
- Версия 2.0 (11 января 2012 г.): объявлено, что исходный пакет обновления, библиотека AntiXSS версии 4.2, заменена библиотекой AntiXSS версии 4.2.1. Всем пользователям библиотеки AntiXSS потребуется обновить библиотеку AntiXSS версии 4.2.1, чтобы обеспечить защиту от уязвимости, описанной в этом бюллетене. Дополнительные сведения см. в разделе "Часто задаваемые вопросы об обновлении".
- Версия 2.1 (16 января 2012 г.): добавлена ссылка на статью базы знаний Майкрософт 2607664 в разделе "Известные проблемы" в сводке по исполнительным вопросам. Кроме того, измененная запись в обновлении часто задаваемые вопросы о том, почему обновление до библиотеки AntiXSS версии 4.2.1 доступно только в Центре загрузки Майкрософт.
Построено в 2014-04-18T13:49:36Z-07:00