Güvenlik Bülteni
Microsoft Güvenlik Bülteni MS12-007 - Önemli
AntiXSS Kitaplığındaki Güvenlik Açığı Bilgilerin Açığa Çıkmasına İzin Verebilir (2607664)
Yayımlanma Tarihi: 10 Ocak 2012 | Güncelleştirme: 16 Ocak 2012
Sürüm: 2.1
Genel Bilgiler
Yönetici Özeti
Bu güvenlik güncelleştirmesi, Microsoft Siteler Arası Betik Oluşturma (AntiXSS) Kitaplığı'nda özel olarak bildirilen bir güvenlik açığını giderir. Bir saldırgan, AntiXSS Kitaplığı'nın temizleme işlevini kullanarak bir web sitesine kötü amaçlı bir betik geçirirse bu güvenlik açığı bilgilerin açığa çıkmasına izin verebilir. Bu bilgilerin açıklanmasının sonuçları, bilgilerin doğasına bağlıdır. Bu güvenlik açığının bir saldırganın doğrudan kod yürütmesine veya kullanıcının kullanıcı haklarını yükseltmesine izin vermeyeceğini, ancak etkilenen sistemin güvenliğini daha fazla aşmaya çalışmak için kullanılabilecek bilgiler üretmek için kullanılabileceğini unutmayın. Yalnızca AntiXSS Kitaplığı'nın temizleme modülünü kullanan siteler bu güvenlik açığından etkilenir.
Bu güvenlik güncelleştirmesi, AntiXSS Kitaplığı V3.x ve AntiXSS Kitaplığı V4.0 için Önemli olarak derecelendirilmiştir. Daha fazla bilgi için bu bölümdeki Etkilenen ve Etkilenmeyen Yazılımlar alt bölümüne bakın.
Güncelleştirme, AntiXSS Kitaplığı'nı güvenlik açığından etkilenmeyen bir sürüme yükselterek güvenlik açığını giderir. Güvenlik açığı hakkında daha fazla bilgi için, sonraki Güvenlik Açığı Bilgileri bölümünün altındaki belirli bir güvenlik açığı girdisi için Sık Sorulan Sorular (SSS) alt bölümüne bakın.
Öneri. Microsoft, müşterilerin güncelleştirmeyi en erken fırsatta uygulamasını önerir.
Bilinen Sorunlar.Microsoft Bilgi Bankası makalesi 2607664 , müşterilerin bu güvenlik güncelleştirmesini yüklerken karşılaşabilecekleri bilinen sorunları belgelemektedir. Makalede ayrıca bu sorunlar için önerilen çözümler belgelenmiştir.
Etkilenen ve Etkilenmeyen Yazılımlar
Aşağıdaki yazılımlar hangi sürümlerin veya sürümlerin etkilendiğini belirlemek için test edilmiştir.
Etkilenen Yazılım
| Yazılım | En Yüksek Güvenlik Etkisi | Toplam Önem Derecesi | Bültenler Bu Güncelleştirmeyle Değiştirildi |
|---|---|---|---|
| Microsoft Siteler Arası Betik Kitaplığı V3.x ve Microsoft Siteler Arası KarşıtLık Betik Kitaplığı V4.0[1][2] | Information Disclosure (Bilgilerin Açığa Çıkması) | Önemli | Hiçbiri |
[1]Bu indirme, Microsoft Siteler Arası Betik (AntiXSS) Kitaplığı'nı, güvenlik açığından etkilenmeyen Microsoft Siteler Arası Karşı Koruma Betik Kitaplığı'nın daha yeni bir sürümüne yükseltiyor.
[2]Bu yükseltme yalnızca Microsoft İndirme Merkezi'nden kullanılabilir. Lütfen Bu Güvenlik Güncelleştirmesi ile İlgili Sık Sorulan Sorular (SSS) başlıklı sonraki bölüme bakın.
Bu Güvenlik Güncelleştirmesi ile İlgili Sık Sorulan Sorular (SSS)
Bu bülten neden 11 Ocak 2012'deyeniden yayınlanmıştır?
Microsoft, özgün yükseltme paketi olan AntiXSS Library sürüm 4.2'nin AntiXSS Kitaplığı sürüm 4.2.1 ile değiştirildiğini duyurmak için bu bülteni yeniden yayımladı. Yeni sürüm, özgün yükseltme paketinin yüklenmesinin belirli durumlarda başarısız olmasına neden olan adlandırma sorununu giderir. AntiXSS Kitaplığı'nın tüm kullanıcılarının bu bültende açıklanan güvenlik açığından korunduğundan emin olmak için AntiXSS Kitaplığı sürüm 4.2.1'e yükseltmesi gerekir.
AntiXSS Kitaplığı'nıkullanan bir geliştiriciyim.Yalnızca sistemimde güncelleştirmeye mi ihtiyacım var?
Hayır AntiXSS Kitaplığı'nı kullanan geliştiriciler bu bültende açıklanan yükseltmeyi yüklemeli ve ardından güncelleştirilmiş kitaplığı AntiXSS Kitaplığı'nı kullanan tüm etkin web sitelerine dağıtmalıdır.
Buyükseltme, işlevsellikte güvenlikle ilgili değişiklikler içeriyor mu?
Evet. Bu bültenin Güvenlik Açığı Bilgileri bölümünde listelenen değişikliklere ek olarak, AntiXSS Kitaplığı'nın (AntiXSS Kitaplığı sürüm 4.2.1) daha yeni bir sürümüne yükseltme, Geçişli Stil Sayfalarının (CSS) AntiXSS Kitaplığı tarafından nasıl işlendiğine ilişkin işlevselliği de değiştirir. Etiketler veya öznitelikler gibi stiller içeren dezenfektana HTML girişi çıkarılır. Stil etiketleri için etiketin içeriği geride bırakılır. Bu davranış, diğer geçersiz etiketlerin davranışıyla tutarlıdır.
Nasıl yaparım? sürümümü yükseltinAntiXSSKitaplığı mı?
Müşteriler, Etkilenen ve Etkilenmeyen Yazılımlar bölümünde yer alan Etkilenen Yazılımlar tablosundaki indirme bağlantısını kullanarak Microsoft Siteler Arası Betik Kitaplığı'nın (AntiXSS Kitaplığı sürüm 4.2.1) güvenlik açığından etkilenmeyen daha yeni bir sürümünü edinebilir.
Yükseltmenedenyalnızca Microsoft İndirme Merkezi'nden kullanılabilir?
Microsoft, AntiXSS Kitaplığı yükseltmesini yalnızca Microsoft İndirme Merkezi'ne yayınlıyor. Geliştiriciler güncelleştirilmiş kitaplığı yalnızca AntiXSS Kitaplığı'nı kullanan etkin web sitelerine dağıttığı için, otomatik güncelleştirme gibi diğer dağıtım yöntemleri bu tür bir yükseltme senaryosu için uygun değildir.
Güvenlik Açığı Bilgileri
Önem Derecesi Ve Güvenlik Açığı Tanımlayıcıları
Aşağıdaki önem derecesi, güvenlik açığının olası en yüksek etkisini varsayar. Bu güvenlik bülteninin yayımlanmasının ardından 30 gün içinde güvenlik açığının önem derecesi ve güvenlik etkisiyle ilgili olarak bu güvenlik açığından yararlanma olasılığıyla ilgili bilgi için ocak bülteni özetindeki Exploitability Index bölümüne bakın. Daha fazla bilgi için bkz . Microsoft Exploitability Index.
| Etkilenen Yazılım | AntiXSS Kitaplığı Atlama Güvenlik Açığı - CVE-2012-0007 | Toplam Önem Derecesi |
|---|---|---|
| Microsoft Siteler Arası Betik Kitaplığı V3.x ve Microsoft Siteler Arası Betik Kitaplığı V4.0 | Önemli \ Bilgilerin Açığa Çıkması | Önemli |
AntiXSS Kitaplığı Atlama Güvenlik Açığı - CVE-2012-0007
Microsoft Anti-Cross Site Scripting (AntiXSS) Kitaplığı özel olarak hazırlanmış HTML'yi yanlış bir şekilde temizlediğinde, bilgilerin açığa çıkmasıyla ilgili bir güvenlik açığı vardır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, kullanıcı tarafından sağlanan HTML'yi temizleme amacıyla AntiXSS Kitaplığı'nı kullanan bir web sitesinde siteler arası betik (XSS) saldırısı gerçekleştirebilir. Bu, saldırganın bir temizleme işlevi aracılığıyla kötü amaçlı bir betik geçirmesine ve açıklanması amaçlanmayan bilgileri kullanıma sunmasına olanak sağlayabilir. Bu bilgilerin açıklanmasının sonuçları, bilgilerin doğasına bağlıdır. Bu güvenlik açığının bir saldırganın doğrudan kod yürütmesine veya kullanıcının kullanıcı haklarını yükseltmesine izin vermeyeceğini, ancak etkilenen sistemin güvenliğini daha fazla aşma girişiminde kullanılabilecek bilgiler üretmek için kullanılabileceğini unutmayın.
Bu güvenlik açığını Ortak Güvenlik Açıkları ve Etkilenmeler listesinde standart bir giriş olarak görüntülemek için bkz . CVE-2012-0007.
AntiXSS Kitaplığı Atlama Güvenlik Açığı - CVE-2012-0007 için Azaltıcı Etkenler
Azaltma, bir güvenlik açığından yararlanmanın önem derecesini azaltabilecek varsayılan bir durumda mevcut olan bir ayarı, yaygın yapılandırmayı veya genel en iyi yöntemi ifade eder. Aşağıdaki hafifletici faktörler sizin durumunuzda yararlı olabilir:
- Yalnızca AntiXSS Kitaplığı'nın temizleme modülünü kullanan siteler bu güvenlik açığından etkilenir.
AntiXSS Kitaplığı Atlama Güvenlik Açığı - CVE-2012-0007 için Geçici Çözümler
Microsoft bu güvenlik açığı için herhangi bir geçici çözüm tanımlamamıştır.
AntiXSS Kitaplığı Atlama Güvenlik Açığı - CVE-2012-0007 hakkında SSS
Güvenlik açığının kapsamı nedir?
Bu, bilgilerin açığa çıkmasıyla ilgili bir güvenlik açığıdır. Bu güvenlik açığından başarıyla yararlanan bir saldırgan, bir temizleme işlevi aracılığıyla kötü amaçlı bir betik geçirebilir ve açıklanması amaçlanmayan bilgileri açığa çıkarabilir. Bu güvenlik açığının, bir saldırganın doğrudan kod yürütmesine veya kullanıcı haklarını yükseltmesine izin vermeyeceğini, ancak etkilenen sistemin güvenliğini daha fazla aşmak için kullanılabilecek bilgileri toplamak için kullanılabileceğini unutmayın.
Güvenlik açığının nedeni nedir?
Bu güvenlik açığı, Microsoft Siteler Arası Betik (AntiXSS) Kitaplığı'nın CSS kaçış karakteri algılandıktan sonra bazı karakterleri yanlış değerlendirmesinin sonucudur.
Siteler Arası Betik Oluşturma (AntiXSS) Kitaplığı nedir?
Microsoft Siteler Arası Betik Oluşturma (AntiXSS) Kitaplığı, geliştiricilerin ASP.NET web tabanlı uygulamalarını XSS saldırılarına karşı korumalarına yardımcı olmak için tasarlanmış bir kodlama kitaplığıdır. XSS saldırılarına karşı koruma sağlamak için beyaz listeleme tekniğini (bazen ekleme ilkesi olarak da adlandırılır) kullandığından çoğu kodlama kitaplığından farklıdır. Bu yaklaşım, önce geçerli veya izin verilebilen bir karakter kümesi tanımlayıp bu küme dışındaki her şeyi (geçersiz karakterler veya olası saldırılar) kodlayarak çalışır. Beyaz listeye ekleme yaklaşımı, diğer kodlama düzenlerine göre çeşitli avantajlar sağlar.
Bir saldırgan güvenlik açığını ne yapmak için kullanabilir?
Bu güvenlik açığından başarıyla yararlanan bir saldırgan, kullanıcı tarafından sağlanan HTML'yi temizleme amacıyla AntiXSS Kitaplığı'nı kullanan bir web sitesinde siteler arası betik (XSS) saldırısı gerçekleştirebilir. Saldırgan daha sonra bir temizleme işlevi aracılığıyla kötü amaçlı bir betik geçirebilir ve açıklanması amaçlanmayan bilgileri kullanıma açabilir. Bu bilgilerin açıklanmasının sonuçları, bilgilerin doğasına bağlıdır. Bu güvenlik açığının, bir saldırganın doğrudan kod yürütmesine veya kullanıcı haklarını yükseltmesine izin vermeyeceğini, ancak etkilenen sistemin güvenliğini daha fazla aşmak için kullanılabilecek bilgileri toplamak için kullanılabileceğini unutmayın.
Bir saldırgan bu güvenlik açığındannasıl yararlanabilir?
Saldırgan, bu güvenlik açığından yararlanmak için Özel olarak hazırlanmış HTML'yi AntiXSS Kitaplığı'nın temizleme modülünü kullanan bir hedef web sitesine gönderebilir. AntiXSS Kitaplığı HTML'yi yanlış temizlediğinde, etkilenen web sunucusunda özel olarak hazırlanmış HTML'nin içinde bulunan kötü amaçlı betik çalıştırılabilir.
Güvenlik açığından birincil olarak hangi sistemler risk altındadır?
AntiXSS Kitaplığı'nı kullanan web sunucuları bu güvenlik açığından risk altındadır.
Güncelleştirme ne yapar?
Güncelleştirme, AntiXSS Kitaplığı'nı güvenlik açığından etkilenmeyen bir sürüme yükselterek güvenlik açığını giderir.
Bu güvenlik bülteni yayımlandığında bu güvenlik açığı herkese açıklandı mı?
Hayır Microsoft, eşgüdümlü güvenlik açığının açığa çıkması yoluyla bu güvenlik açığı hakkında bilgi aldı.
Bu güvenlik bülteni yayımlandığında, Microsoft bu güvenlik açığından yararlanıldığına dair herhangi bir rapor aldı mı?
Hayır Microsoft, bu güvenlik bülteni ilk yayımlandığında bu güvenlik açığının müşterilere saldırmak için genel olarak kullanıldığını belirten herhangi bir bilgi almamıştı.
Diğer Bilgiler
İlgili kaynaklar
- IBM Rational Application Security için çalışan Adi Cohen, AntiXSS Kitaplığı Atlama Güvenlik Açığı'nı (CVE-2012-0007) bildirmiş olduğu için
Microsoft Active Protections Programı (MAPP)
Microsoft, müşterilerin güvenlik korumalarını geliştirmek için her aylık güvenlik güncelleştirmesi sürümünden önce önemli güvenlik yazılımı sağlayıcılarına güvenlik açığı bilgileri sağlar. Güvenlik yazılımı sağlayıcıları daha sonra bu güvenlik açığı bilgilerini kullanarak müşterilere güvenlik yazılımları veya virüsten koruma, ağ tabanlı yetkisiz erişim algılama sistemleri veya konak tabanlı yetkisiz erişim önleme sistemleri gibi cihazları aracılığıyla güncelleştirilmiş korumalar sağlayabilir. Güvenlik yazılımı sağlayıcılarından etkin koruma sağlanıp sağlanmadığını belirlemek için lütfen Microsoft Active Protections Program (MAPP) İş Ortakları'nda listelenen program iş ortakları tarafından sağlanan etkin koruma web sitelerini ziyaret edin.
Destek
- ABD ve Kanada'daki müşteriler Güvenlik Desteği veya 1-866-PCSAFETY'den teknik destek alabilir. Güvenlik güncelleştirmeleriyle ilişkili destek çağrıları için ücret alınmaz. Kullanılabilir destek seçenekleri hakkında daha fazla bilgi için bkz . Microsoft Yardım ve Destek.
- Uluslararası müşteriler, yerel Microsoft yan kuruluşlarından destek alabilir. Güvenlik güncelleştirmeleriyle ilişkili destek için ücret alınmaz. Destek sorunları için Microsoft'a başvurma hakkında daha fazla bilgi için Uluslararası Destek web sitesini ziyaret edin.
Bildirim
Microsoft Bilgi Bankası'nda sağlanan bilgiler herhangi bir garanti olmadan "olduğu gibi" sağlanır. Microsoft, satılabilirlik ve belirli bir amaca uygunluk garantileri dahil olmak üzere açık veya zımni tüm garantileri reddeder. Microsoft Corporation veya tedarikçilerine bu tür zararlar olabileceği bildirilmiş olsa bile, doğrudan, dolaylı, arızi, neticede iş kârı kaybı veya özel zararlar dahil olmak üzere hiçbir durumda Microsoft Corporation veya tedarikçileri herhangi bir zarardan sorumlu tutulamaz. Bazı eyaletler, ortaya çıkabilecek veya arızi zararlar için sorumluluğun hariç tutulmasına veya sınırlandırılmasına izin vermez, bu nedenle söz konusu sınırlama geçerli olmayabilir.
Düzeltmeler
- V1.0 (10 Ocak 2012): Bülten yayımlandı.
- V2.0 (11 Ocak 2012): Özgün yükseltme paketi olan AntiXSS Kitaplığı sürüm 4.2'nin AntiXSS Kitaplığı sürüm 4.2.1 ile değiştirildiği duyuruldu. AntiXSS Kitaplığı'nın tüm kullanıcılarının bu bültende açıklanan güvenlik açığından korunduğundan emin olmak için AntiXSS Kitaplığı sürüm 4.2.1'e yükseltmesi gerekir. Daha fazla bilgi için güncelleştirme hakkında SSS bölümüne bakın.
- V2.1 (16 Ocak 2012): Yönetim Özeti'ndeki Bilinen Sorunlar altında 2607664 Microsoft Bilgi Bankası makalesine bir bağlantı eklendi. Ayrıca, AntiXSS Kitaplığı sürüm 4.2.1'e yükseltmenin neden yalnızca Microsoft İndirme Merkezi'nden kullanılabilir olduğunu netleştirmek için güncelleştirme SSS'sindeki yeniden düzenlenen giriş.
2014-04-18T13:49:36Z-07:00'da oluşturuldu