安全公告
Microsoft 安全公告 MS12-007 - 重要
AntiXSS 库中的漏洞可能导致信息泄露(2607664)
发布时间: 2012 年 1 月 10 日 |更新时间:2012 年 1 月 16 日
版本: 2.1
常规信息
执行摘要
此安全更新解决了 Microsoft Anti-Cross Site Scripting (AntiXSS) 库中的一个私下报告的漏洞。 如果攻击者使用 AntiXSS 库的清理功能将恶意脚本传递给网站,则漏洞可能会允许信息泄露。 披露该信息的后果取决于信息本身的性质。 请注意,此漏洞不允许攻击者执行代码或直接提升攻击者的用户权限,但它可用于生成可用于进一步入侵受影响系统的信息。 只有使用 AntiXSS 库清理模块的网站才会受到此漏洞的影响。
此安全更新对 AntiXSS 库 V3.x 和 AntiXSS 库 V4.0 的评价非常重要。 有关详细信息,请参阅本节中的小节“ 受影响的和非受影响的软件”。
此更新通过将 AntiXSS 库升级到不受该漏洞影响的版本来解决漏洞。 有关漏洞的详细信息,请参阅下一部分 “漏洞信息”下特定漏洞条目的常见问题解答(常见问题解答)子部分。
建议。 Microsoft 建议客户尽早应用更新。
已知问题。Microsoft 知识库文章2607664 记录客户安装此安全更新时可能会遇到的当前已知问题。 本文还记录了针对这些问题的建议解决方案。
受影响的和非受影响的软件
以下软件已经过测试,以确定哪些版本受到影响。
受影响的软件
| 软件 | 最大安全影响 | 聚合严重性分级 | 此更新所替换的公告 |
|---|---|---|---|
| Microsoft 反跨站点脚本库 V3.x 和 Microsoft 反跨站点脚本库 V4.0[1][2] | 信息泄露 | 重要 | 无 |
[1]此下载会将 Microsoft Anti-Cross Site Scripting (AntiXSS) 库升级到不受漏洞影响的 Microsoft 反跨站点脚本库的较新版本。
[2]此升级仅适用于 Microsoft 下载中心。 请参阅下一部分, 有关此安全更新的常见问题解答(常见问题解答)。
与此安全更新相关的常见问题(常见问题解答)
为什么此公告于2012 年 1 月 11 日重新发布?
Microsoft 重新发布此公告,宣布原始升级包 AntiXSS 库版本 4.2 已替换为 AntiXSS 库版本 4.2.1。 新版本解决了导致某些情况下原始升级包安装失败的命名问题。 AntiXSS 库的所有用户都需要升级到 AntiXSS 库版本 4.2.1 ,以帮助确保他们免受本公告中所述的漏洞的保护。
我是使用 AntiXSS 库的开发人员。我是否需要系统上的更新?
否。 使用 AntiXSS 库的开发人员应安装此公告中所述的升级,然后将更新的库部署到使用 AntiXSS 库的所有活动网站。
此升级是否包含与安全相关的功能更改?
是的。 除了本公告的 “漏洞信息 ”部分中列出的更改外,升级到较新版本的 AntiXSS 库(AntiXSS 库版本 4.2.1)还更改了 AntiXSS 库处理级联样式表(CSS)如何处理的功能。 将去除包含样式(如标记或属性)的清理器的 HTML 输入。 对于样式标记,标记的内容将保留。 此行为与其他无效标记的行为一致。
如何实现升级版本反XSS库?
客户可以使用上一部分 “受影响的软件”表中的下载链接获取较新版本的 Microsoft 反跨站点脚本库(AntiXSS 库版本 4.2.1),该库不受漏洞影响。
为什么只能从 Microsoft 下载中心获取升级?
Microsoft 仅将 AntiXSS 库的升级发布到 Microsoft 下载中心。 由于开发人员仅将更新后的库部署到使用 AntiXSS 库的活动网站,因此其他分发方法(如自动更新)不适用于这种类型的升级方案。
漏洞信息
严重性分级和漏洞标识符
以下严重性分级假定漏洞的潜在最大影响。 有关此安全公告发布后 30 天内漏洞的可利用性及其严重性评级和安全影响的信息,请参阅 1 月公告摘要中的 Exploitability Index。 有关详细信息,请参阅 Microsoft Exploitability Index。
| 受影响的软件 | AntiXSS 库绕过漏洞 - CVE-2012-0007 | 聚合严重性分级 |
|---|---|---|
| Microsoft 反跨站点脚本库 V3.x 和 Microsoft 反跨站点脚本库 V4.0 | 重要 \ 信息泄露 | 重要说明 |
AntiXSS 库绕过漏洞 - CVE-2012-0007
当 Microsoft 反交叉网站脚本(AntiXSS)库错误地清理特制 HTML 时,存在信息泄露漏洞。 成功利用此漏洞的攻击者可能会对使用 AntiXSS 库清理用户提供的 HTML 的网站执行跨站点脚本(XSS)攻击。 这可能导致攻击者通过清理函数传递恶意脚本,并公开不打算透露的信息。 此信息披露的后果取决于信息本身的性质。 请注意,此漏洞不允许攻击者执行代码或直接提升攻击者的用户权限,但它可用于生成可用于进一步入侵受影响系统的信息。
若要将此漏洞视为常见漏洞和公开列表中的标准条目,请参阅 CVE-2012-0007。
AntiXSS 库绕过漏洞的缓解因素 - CVE-2012-0007
缓解是指在默认状态下存在的设置、常见配置或一般最佳做法,这可能会降低漏洞利用的严重性。 以下缓解因素可能对你的情况有所帮助:
- 只有使用 AntiXSS 库清理模块的网站才会受到此漏洞的影响。
AntiXSS 库绕过漏洞的解决方法 - CVE-2012-0007
Microsoft 尚未识别此漏洞的任何解决方法。
AntiXSS 库绕过漏洞常见问题解答 - CVE-2012-0007
漏洞的范围是什么?
这是信息泄露漏洞。 成功利用此漏洞的攻击者可以通过清理函数传递恶意脚本,并公开不打算透露的信息。 请注意,此漏洞不允许攻击者执行代码或直接提升攻击者的用户权限,但它可用于收集可用于进一步入侵受影响系统的信息。
导致漏洞的原因是什么?
漏洞是检测到 CSS 转义字符后,Microsoft 反交叉站点脚本库(AntiXSS)库错误地评估某些字符的结果。
什么是反跨站点脚本(AntiXSS)库?
Microsoft Anti-Cross Site Scripting (AntiXSS) 库是一个编码库,旨在帮助开发人员保护其 ASP.NET 基于 Web 的应用程序免受 XSS 攻击。 它不同于大多数编码库,因为它使用允许列表技术(有时称为包含原则)来提供对 XSS 攻击的保护。 此方法的工作原理是先定义有效或允许的字符集,然后对此设置以外的任何内容进行编码(无效字符或潜在攻击)。 白名单方法与其他编码方案具有多种优势。
攻击者可能使用漏洞执行哪些操作?
成功利用此漏洞的攻击者可能会对使用 AntiXSS 库清理用户提供的 HTML 的网站执行跨站点脚本(XSS)攻击。 然后,攻击者可以通过清理函数传递恶意脚本,并公开不打算透露的信息。 披露该信息的后果取决于信息本身的性质。 请注意,此漏洞不允许攻击者执行代码或直接提升攻击者的用户权限,但它可用于收集可用于进一步入侵受影响系统的信息。
攻击者如何利用漏洞?
为了利用此漏洞,攻击者可以将特制 HTML 发送到使用 AntiXSS 库清理模块的目标网站。 当 AntiXSS 库错误地清理 HTML 时,可能会在受影响的 Web 服务器上运行特制 HTML 中包含的恶意脚本。
哪些系统主要面临漏洞的风险?
使用 AntiXSS 库的 Web 服务器面临此漏洞的风险。
更新的作用是什么?
此更新通过将 AntiXSS 库升级到不受该漏洞影响的版本来解决漏洞。
发布此安全公告后,是否已公开披露此漏洞?
否。 Microsoft 通过协调的漏洞泄露收到了有关此漏洞的信息。
发布此安全公告后,Microsoft 是否收到了有关此漏洞被利用的任何报告?
否。 当最初发布此安全公告时,Microsoft 未收到任何信息,表明此漏洞已公开用于攻击客户。
其他信息
致谢
Microsoft 感谢 以下部门与我们合作,帮助保护客户:
- IBM 合理应用程序安全性的 Adi Cohen 报告 AntiXSS 库绕过漏洞 (CVE-2012-0007)
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出。
支持
- 美国和加拿大的客户可以从安全支持部门或 1-866-PCSAFETY 获得技术支持。 对于与安全更新关联的支持调用,不收取任何费用。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 不支持与安全更新关联的支持。 有关如何联系 Microsoft 获取支持问题的详细信息,请访问 国际支持网站。
免责声明
Microsoft 知识库中提供的信息“按原样”提供,不提供任何形式的担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2012 年 1 月 10 日):公告已发布。
- V2.0(2012 年 1 月 11 日):宣布原始升级包 AntiXSS 库版本 4.2 已替换为 AntiXSS 库版本 4.2.1。 AntiXSS 库的所有用户都需要升级到 AntiXSS 库版本 4.2.1,以帮助确保他们免受本公告中所述的漏洞的保护。 有关详细信息,请参阅更新常见问题解答。
- V2.1(2012 年 1 月 16 日):在“执行摘要”中的“已知问题”下添加了 Microsoft 知识库文章2607664链接。 此外,更新常见问题解答中修订的条目,以阐明为何仅可从 Microsoft 下载中心获取升级到 AntiXSS 库版本 4.2.1。
生成于 2014-04-18T13:49:36Z-07:00