安全性布告欄
Microsoft 安全性公告 MS12-007 - 重要
發佈時間: 2012 年 1 月 10 日 |更新日期:2012年1月16日
版本: 2.1
此安全性更新可解決 Microsoft Anti-Cross Site Scripting (AntiXSS) 連結庫中的一個私用回報弱點。 如果攻擊者使用 AntiXSS 連結庫的清理功能,將惡意腳本傳遞給網站,此弱點可能會允許資訊洩漏。 資訊洩漏的後果取決於資訊本身的性質。 請注意,此弱點不允許攻擊者執行程式碼或直接提升攻擊者的用戶權力,但可用來產生可用來嘗試進一步入侵受影響系統的資訊。 只有使用 AntiXSS 連結庫清理模組的網站會受到此弱點的影響。
此安全性更新已針對 AntiXSS Library V3.x 和 AntiXSS Library V4.0 評為重要。 如需詳細資訊,請參閱本節中的小節<
更新會藉由將 AntiXSS 連結庫升級至不受弱點影響的版本,以解決弱點。 如需弱點的詳細資訊,請參閱下一節弱點資訊下特定弱點專案的常見問題 (FAQ) 小節。
建議。 Microsoft 建議客戶儘早套用更新。
已知問題。Microsoft 知識庫文章2607664 記載客戶安裝此安全性更新時可能會遇到的目前已知問題。 本文也記載了這些問題的建議解決方案。
下列軟體已經過測試,以判斷哪些版本或版本受到影響。
受影響的軟體
| 軟體 | 最大安全性影響 | 匯總嚴重性評等 | 此更新所取代的公告 |
|---|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x 和 Microsoft Anti-Cross Site Scripting Library V4.0[1][2] | 洩露資訊 | 重要 | 無 |
[1]此下載會將 Microsoft Anti-Cross Site Scripting (AntiXSS) 連結庫升級至較新版本的 Microsoft Anti-Cross Site Scripting Library,不受弱點影響。
[2]此升級僅適用於 Microsoft 下載中心。 請參閱下一節與此 安全性更新相關的常見問題(FAQ)。
為什麼此公告於 2012 年 1 月 11 日重新發行?
Microsoft 重新發行此公告,宣佈原始升級套件 AntiXSS Library 4.2 版已取代為 AntiXSS Library 4.2.1 版。 新版本可解決導致安裝原始升級套件在某些情況下失敗的命名問題。 AntiXSS 連結庫的所有用戶都必須升級至 AntiXSS Library 4.2.1 版,以協助確保他們受到保護,以免受到此公告中所述的弱點保護。
我是使用 AntiXSS 連結庫的開發人員。我只需要系統上的更新嗎?
否。 使用 AntiXSS 連結庫的開發人員應該安裝此公告中所述的升級,然後將更新的連結庫部署到使用 AntiXSS 連結庫的所有使用中網站。
此升級是否包含任何與安全性相關的功能變更?
是。 除了此公告的弱點資訊一節所列的變更之外,升級至較新版本的 AntiXSS 連結庫 (AntiXSS Library 4.2.1 版) 也會變更 AntiXSS 連結庫處理級聯樣式表 (CSS) 處理方式的功能。 包含標記或屬性等樣式的清理工具的 HTML 輸入將會遭到移除。 對於樣式標籤,標記的內容會保留下來。 此行為與其他無效標籤的行為一致。
如何? 升級版本AntiXSS連結庫?
客戶可以使用上一節 受影響的軟體數據表中的下載連結,取得較新版本的 Microsoft Anti-Cross Site Scripting Library (AntiXSS Library 4.2.1 版),而該連結不受弱點影響。
為什麼只能從 Microsoft 下載中心取得升級?
Microsoft 只會將 AntiXSS Library 的升級發行至 Microsoft 下載中心。 由於開發人員只會將更新的連結庫部署到使用 AntiXSS 連結庫的作用中網站,因此其他發佈方法,例如自動更新,不適用於這種類型的升級案例。
下列嚴重性評等假設弱點的潛在最大影響。 如需有關此安全性布告欄發行的 30 天內有關弱點嚴重性評等和安全性影響之惡意探索性的資訊,請參閱 1 月公告摘要中的惡意探索性索引。 如需詳細資訊,請參閱 Microsoft 惡意探索索引。
| 受影響的軟體 | AntiXSS 連結庫略過弱點 - CVE-2012-0007 | 匯總嚴重性評等 |
|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x 和 Microsoft Anti-Cross Site Scripting Library V4.0 | 重要 \ 信息洩漏 | 重要 |
當 Microsoft Anti-Cross Site Scripting (AntiXSS) 連結庫不正確地清理特製 HTML 時,就會存在資訊洩漏弱點。 成功利用此弱點的攻擊者可能會在使用 AntiXSS Library 清理使用者提供的 HTML 的網站上執行跨網站腳本 (XSS) 攻擊。 這可讓攻擊者透過清理函式傳遞惡意腳本,並公開不打算透露的資訊。 此資訊洩漏的後果取決於資訊本身的性質。 請注意,此弱點不允許攻擊者執行程式碼或直接提升攻擊者的用戶權力,但可用來產生資訊,以嘗試進一步入侵受影響的系統。
若要將此弱點視為常見弱點和暴露清單中的標準專案,請參閱 CVE-2012-0007。
風險降低是指設定、一般設定或一般最佳做法,存在於默認狀態中,這可能會降低惡意探索弱點的嚴重性。 下列緩和因素可能對您的情況有所説明:
- 只有使用 AntiXSS 連結庫清理模組的網站會受到此弱點的影響。
Microsoft 尚未識別此弱點的任何因應措施。
弱點的範圍為何?
這是資訊洩漏弱點。 成功惡意探索此弱點的攻擊者可能會透過清理函式傳遞惡意腳本,並公開不打算透露的資訊。 請注意,此弱點不允許攻擊者執行程序代碼或直接提升攻擊者的用戶權力,但可用來收集可能用於進一步入侵受影響系統的資訊。
造成弱點的原因為何?
弱點是偵測到 CSS 逸出字元之後,Microsoft Anti-Cross Site Scripting (AntiXSS) 連結庫在偵測到某些字元時,錯誤地評估特定字元的結果。
什麼是反跨網站腳本 (AntiXSS) 連結庫?
Microsoft Anti-Cross Site Scripting (AntiXSS) 連結庫是一種編碼連結庫,其設計目的是協助開發人員保護其 ASP.NET Web 應用程式免受 XSS 攻擊。 它與大多數編碼連結庫不同,因為它使用白名單技術,有時稱為包含原則,以提供對 XSS 攻擊的保護。 此方法的運作方式是先定義有效或允許的字元集,然後編碼此集合以外的任何專案(無效字元或潛在攻擊)。 白名單方法比其他編碼配置提供數個優點。
攻擊者可能會使用弱點來執行哪些動作?
成功利用此弱點的攻擊者可能會在使用 AntiXSS Library 清理使用者提供的 HTML 的網站上執行跨網站腳本 (XSS) 攻擊。 攻擊者接著可以透過清理函式傳遞惡意腳本,並公開不打算透露的資訊。 資訊洩漏的後果取決於資訊本身的性質。 請注意,此弱點不允許攻擊者執行程序代碼或直接提升攻擊者的用戶權力,但可用來收集可能用於進一步入侵受影響系統的資訊。
攻擊者如何利用弱點?
若要惡意探索此弱點,攻擊者可以將特製 HTML 傳送至使用 AntiXSS Library 清理模組的目標網站。 當 AntiXSS 連結庫不正確地清理 HTML 時,在受影響的網頁伺服器上可能會執行特製 HTML 中包含的惡意腳本。
哪些系統主要面臨弱點的風險?
使用 AntiXSS 連結庫的網頁伺服器有此弱點的風險。
更新有何用途?
更新會藉由將 AntiXSS 連結庫升級至不受弱點影響的版本,以解決弱點。
發佈此安全性布告欄時,是否已公開披露此弱點?
否。 Microsoft 透過協調的弱點洩漏收到此弱點的相關信息。
發佈此安全性布告欄時,Microsoft 是否已收到任何有關此弱點遭到惡意探索的報告?
否。 Microsoft 尚未收到任何資訊,指出此弱點已公開用於攻擊客戶,而此安全性公告最初發佈時。
Microsoft 感謝您 與我們合作,協助保護客戶:
- IBM 合理應用程式安全性的 Adi Cohen 報告 AntiXSS 連結庫略過弱點 (CVE-2012-0007)
為了改善客戶的安全性保護,Microsoft 會在每個每月安全性更新版本之前,為主要安全性軟體提供者提供弱點資訊。 然後,安全性軟體提供者可以使用此弱點資訊,透過其安全性軟體或裝置,例如防病毒軟體、網路型入侵檢測系統或主機型入侵預防系統,為客戶提供更新的保護。 若要判斷是否可從安全性軟體提供者取得主動保護,請流覽由計劃合作夥伴所提供的使用中保護網站,列在 Microsoft Active Protections 方案 (MAPP) 合作夥伴中。
- 美國和加拿大的客戶可以從安全性支援或 1-866-PCSAFETY 收到技術支援。 與安全性更新相關聯的支援呼叫不收取任何費用。 如需可用支援選項的詳細資訊,請參閱 Microsoft 說明及支援。
- 國際客戶可以從其當地 Microsoft 子公司獲得支援。 與安全性更新相關聯的支援不收取任何費用。 如需如何連絡 Microsoft 以取得支持問題的詳細資訊,請瀏覽 國際支持網站。
Microsoft 知識庫中提供的資訊會「如實」提供,而不會提供任何類型的擔保。 Microsoft 不表示明示或隱含的所有擔保,包括適銷性及適合特定用途的擔保。 任何情況下,Microsoft Corporation 或其供應商都不得承擔任何損害責任,包括直接、間接、附帶、衍生性、業務利潤損失或特殊損害,即使 Microsoft Corporation 或其供應商已獲告知可能遭受此類損害。 某些州不允許排除或限制衍生性或附帶性損害的責任,因此可能不適用上述限制。
- V1.0 (2012 年 1 月 10 日): 公告發佈。
- V2.0 (2012 年 1 月 11 日):宣布原始升級套件 AntiXSS Library 4.2 版已取代為 AntiXSS Library 4.2.1 版。 AntiXSS 連結庫的所有用戶都必須升級至 AntiXSS Library 4.2.1 版,以協助確保他們受到保護,以免受到此公告中所述的弱點保護。 如需詳細資訊,請參閱更新常見問題。
- V2.1 (2012 年 1 月 16 日):已在執行摘要的已知問題底下新增 Microsoft 知識庫文章的連結2607664。 此外,更新常見問題中的修訂專案,以釐清為什麼只有 Microsoft 下載中心才提供升級至 AntiXSS Library 4.2.1 版的原因。
建置於 2014-04-18T13:49:36Z-07:00