Sicherheitsbulletin

Microsoft Security Bulletin MS12-007 – Wichtig

Sicherheitsanfälligkeit in der AntiXSS-Bibliothek könnte die Offenlegung von Informationen (2607664) ermöglichen.

Veröffentlicht: 10. Januar 2012 | Aktualisiert: 16. Januar 2012

Version: 2.1

Allgemeine Informationen

Kurzfassung

Dieses Sicherheitsupdate behebt eine privat gemeldete Sicherheitsanfälligkeit in der Microsoft Anti-Cross Site Scripting (AntiXSS)-Bibliothek. Die Sicherheitsanfälligkeit könnte die Offenlegung von Informationen ermöglichen, wenn ein Angreifer ein schädliches Skript mithilfe der Bereinigungsfunktion der AntiXSS-Bibliothek an eine Website übergibt. Die Folgen der Offenlegung dieser Informationen hängen von der Art der Informationen selbst ab. Beachten Sie, dass diese Sicherheitsanfälligkeit es einem Angreifer nicht gestatten würde, Code auszuführen oder die Benutzerrechte des Angreifers direkt zu erhöhen, es könnte jedoch verwendet werden, um Informationen zu erstellen, die verwendet werden könnten, um das betroffene System weiter zu kompromittieren. Nur Websites, die das Bereinigungsmodul der AntiXSS-Bibliothek verwenden, sind von dieser Sicherheitsanfälligkeit betroffen.

Dieses Sicherheitsupdate ist für die AntiXSS Library V3.x und die AntiXSS Library V4.0 als wichtig eingestuft. Weitere Informationen finden Sie im Unterabschnitt, betroffene und nicht betroffene Software in diesem Abschnitt.

Das Update behebt die Sicherheitsanfälligkeit, indem die AntiXSS-Bibliothek auf eine Version aktualisiert wird, die von der Sicherheitsanfälligkeit nicht betroffen ist. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Unterabschnitt häufig gestellte Fragen (FAQ) für den spezifischen Sicherheitsrisikoeintrag im nächsten Abschnitt, Sicherheitsrisikoinformationen.

Empfehlung Microsoft empfiehlt Kunden, das Update frühestens anzuwenden.

Bekannte Probleme.Microsoft Knowledge Base-Artikel 2607664 dokumentiert die derzeit bekannten Probleme, die Kunden bei der Installation dieses Sicherheitsupdates auftreten können. Der Artikel dokumentiert auch empfohlene Lösungen für diese Probleme.

Betroffene und nicht betroffene Software

Die folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind.

Betroffene Software 

Software Maximale Sicherheitswirkung Bewertung des aggregierten Schweregrads Bulletins ersetzt durch dieses Update
Microsoft Anti-Cross Site Scripting Library V3.x und Microsoft Anti-Cross Site Scripting Library V4.0[1][2] Veröffentlichung von Informationen Wichtig Keine

[1]Dieser Download aktualisiert die Microsoft Anti-Cross Site Scripting (AntiXSS)-Bibliothek auf eine neuere Version der Microsoft Anti-Cross Site Scripting Library, die von der Sicherheitsanfälligkeit nicht betroffen ist.

[2]Dieses Upgrade ist nur im Microsoft Download Center verfügbar. Weitere Informationen finden Sie im nächsten Abschnitt, häufig gestellte Fragen (FAQ) zu diesem Sicherheitsupdate.

Warum wurde dieses Bulletin am11. Januar 2012 erneut veröffentlicht?
Microsoft hat dieses Bulletin erneut veröffentlicht, um ankündigen zu können, dass das ursprüngliche Upgradepaket AntiXSS Library, Version 4.2, durch AntiXSS Library Version 4.2.1 ersetzt wurde. Die neue Version behebt ein Namensproblem, das dazu führte, dass die Installation des ursprünglichen Upgradepakets unter bestimmten Umständen fehlschlug. Alle Benutzer der AntiXSS-Bibliothek müssen ein Upgrade auf Die AntiXSS-Bibliothek, Version 4.2.1 , durchführen, um sicherzustellen, dass sie vor der in diesem Bulletin beschriebenen Sicherheitsanfälligkeit geschützt sind.

Ich bin ein Entwickler, der dieAntiXSS-Bibliothekverwendet.Benötige ich nur das Update auf meinem System?
Nein Entwickler, die die AntiXSS-Bibliothek verwenden, sollten das in diesem Bulletin beschriebene Upgrade installieren und dann auch die aktualisierte Bibliothek auf allen ihren aktiven Websites bereitstellen, die die AntiXSS-Bibliothek verwenden.

Enthält diesesUpgradesicherheitsbezogene Änderungen an Funktionen?
Ja. Zusätzlich zu den Änderungen, die im Abschnitt "Sicherheitsrisikeninformationen " dieses Bulletins aufgeführt sind, ändert das Upgrade auf eine neuere Version der AntiXSS Library (AntiXSS Library Version 4.2.1) auch die Funktionalität der Verarbeitung von Cascading StyleSheets (CSS) durch die AntiXSS-Bibliothek. HTML-Eingaben an den Sanitizer, der Formatvorlagen enthält, z. B. Tags oder Attribute, werden entfernt. Bei Formattags bleibt der Inhalt des Tags zurück. Dieses Verhalten entspricht dem Verhalten anderer ungültiger Tags.

Gewusst wie upgraden meine Version derAntiXSS-Bibliothek?
Kunden können eine neuere Version der Microsoft Anti-Cross Site Scripting Library (AntiXSS Library Version 4.2.1) erhalten, die nicht von der Sicherheitsanfälligkeit betroffen ist, indem Sie den Downloadlink in der Tabelle "Betroffene Software" im vorherigen Abschnitt, betroffene und nicht betroffene Software verwenden.

Warum istdas Upgradenur über das Microsoft Download Center verfügbar?
Microsoft veröffentlicht das Upgrade nur für die AntiXSS-Bibliothek auf das Microsoft Download Center. Da Entwickler die aktualisierte Bibliothek nur auf aktiven Websites bereitstellen, die die AntiXSS-Bibliothek verwenden, sind andere Verteilungsmethoden, z. B. die automatische Aktualisierung, für diese Art von Upgrade nicht geeignet.

Sicherheitsrisikoinformationen

Schweregradbewertungen und Sicherheitslücken-IDs

Die folgenden Schweregradbewertungen gehen von der potenziellen maximalen Auswirkung der Sicherheitsanfälligkeit aus. Informationen zur Wahrscheinlichkeit, dass innerhalb von 30 Tagen nach der Veröffentlichung dieses Sicherheitsbulletins die Ausnutzbarkeit der Sicherheitsanfälligkeit in Bezug auf die Schweregradbewertung und die Sicherheitsauswirkungen besteht, lesen Sie bitte den Exploitability Index in der Bulletinzusammenfassung vom Januar. Weitere Informationen finden Sie unter Microsoft Exploitability Index.

Betroffene Software Sicherheitsanfälligkeit in Der AntiXSS-Bibliothek umgehen – CVE-2012-0007 Bewertung des aggregierten Schweregrads
Microsoft Anti-Cross Site Scripting Library V3.x und Microsoft Anti-Cross Site Scripting Library V4.0 Wichtig \ Offenlegung von Informationen Wichtig

Sicherheitsanfälligkeit in Der AntiXSS-Bibliothek umgehen – CVE-2012-0007

Eine Sicherheitsanfälligkeit in Bezug auf die Offenlegung von Informationen ist vorhanden, wenn die Anti-Cross Site Scripting (AntiXSS)-Bibliothek von Microsoft speziell gestaltete HTML falsch sanitiert. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte einen websiteübergreifenden Skriptingangriff (XSS) auf einer Website durchführen, die die AntiXSS-Bibliothek verwendet, um den vom Benutzer bereitgestellten HTML zu sanieren. Dies könnte es einem Angreifer ermöglichen, ein schädliches Skript über eine Bereinigungsfunktion zu übergeben und Informationen offenzulegen, die nicht offengelegt werden sollen. Die Folgen der Offenlegung dieser Informationen hängen von der Art der Informationen selbst ab. Beachten Sie, dass diese Sicherheitsanfälligkeit es einem Angreifer nicht gestattet, Code auszuführen oder die Benutzerrechte des Angreifers direkt zu erhöhen, es könnte jedoch verwendet werden, um Informationen zu erstellen, die verwendet werden könnten, um das betroffene System weiter zu kompromittieren.

Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter CVE-2012-0007.

Mildernde Faktoren für Die Sicherheitsanfälligkeit in Der AntiXSS-Bibliothek – CVE-2012-0007

Die Entschärfung bezieht sich auf eine Einstellung, eine allgemeine Konfiguration oder eine allgemeine bewährte Methode, die in einem Standardzustand vorhanden ist, wodurch der Schweregrad der Ausbeutung einer Sicherheitsanfälligkeit verringert werden kann. Die folgenden mildernden Faktoren können in Ihrer Situation hilfreich sein:

  • Nur Websites, die das Bereinigungsmodul der AntiXSS-Bibliothek verwenden, sind von dieser Sicherheitsanfälligkeit betroffen.

Problemumgehungen für Die Sicherheitsanfälligkeit in der AntiXSS-Bibliothek – CVE-2012-0007

Microsoft hat keine Problemumgehungen für diese Sicherheitsanfälligkeit identifiziert.

Häufig gestellte Fragen zur Umgehung von Sicherheitsanfälligkeit in AntiXSS-Bibliothek – CVE-2012-0007

Was ist der Umfang der Sicherheitsanfälligkeit? 
Dies ist eine Sicherheitslücke zur Offenlegung von Informationen. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte ein schädliches Skript über eine Bereinigungsfunktion übergeben und Informationen verfügbar machen, die nicht offengelegt werden sollen. Beachten Sie, dass diese Sicherheitsanfälligkeit es einem Angreifer nicht gestatten würde, Code auszuführen oder die Benutzerrechte des Angreifers direkt zu erhöhen, es könnte jedoch verwendet werden, um Informationen zu sammeln, die verwendet werden könnten, um das betroffene System weiter zu kompromittieren.

Was verursacht die Sicherheitsanfälligkeit? 
Die Sicherheitsanfälligkeit ist das Ergebnis der Microsoft Anti-Cross Site Scripting (AntiXSS)-Bibliothek, die bestimmte Zeichen falsch auswertet, nachdem ein CSS-Escapezeichen erkannt wurde.

Was ist die Anti-Cross Site Scripting (AntiXSS)-Bibliothek? 
Die Microsoft Anti-Cross Site Scripting (AntiXSS)-Bibliothek ist eine Codierungsbibliothek, die Entwicklern dabei hilft, ihre ASP.NET webbasierten Anwendungen vor XSS-Angriffen zu schützen. Es unterscheidet sich von den meisten Codierungsbibliotheken darin, dass sie die White-Listing-Technik verwendet ( manchmal auch als Das Prinzip der Einschlüsse bezeichnet - zum Schutz vor XSS-Angriffen. Dieser Ansatz funktioniert, indem zuerst ein gültiger oder zulässiger Satz von Zeichen definiert und dann alles außerhalb dieses Satzes codiert wird (ungültige Zeichen oder potenzielle Angriffe). Der White-Listing-Ansatz bietet gegenüber anderen Codierungsschemas mehrere Vorteile.

Was kann ein Angreifer tun, um die Sicherheitsanfälligkeit zu tun? 
Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausgenutzt hat, könnte einen websiteübergreifenden Skriptingangriff (XSS) auf einer Website durchführen, die die AntiXSS-Bibliothek verwendet, um den vom Benutzer bereitgestellten HTML zu sanieren. Ein Angreifer könnte dann ein bösartiges Skript über eine Bereinigungsfunktion übergeben und Informationen verfügbar machen, die nicht offengelegt werden sollen. Die Folgen der Offenlegung dieser Informationen hängen von der Art der Informationen selbst ab. Beachten Sie, dass diese Sicherheitsanfälligkeit es einem Angreifer nicht gestatten würde, Code auszuführen oder die Benutzerrechte des Angreifers direkt zu erhöhen, es könnte jedoch verwendet werden, um Informationen zu sammeln, die verwendet werden könnten, um das betroffene System weiter zu kompromittieren.

Wie kann ein Angreifer dieSicherheitsanfälligkeit ausnutzen? 
Um diese Sicherheitsanfälligkeit auszunutzen, könnte ein Angreifer speziell gestaltetes HTML an eine Zielwebsite senden, die das Bereinigungsmodul der AntiXSS-Bibliothek verwendet. Wenn die AntiXSS-Bibliothek den HTML-Code falsch sanitiert, können schädliche Skripts, die im speziell gestalteten HTML-Code enthalten sind, auf dem betroffenen Webserver ausgeführt werden.

Welche Systeme sind in erster Linie durch die Sicherheitsanfälligkeit gefährdet? 
Webserver, die die AntiXSS-Bibliothek verwenden, sind durch diese Sicherheitsanfälligkeit gefährdet.

Was geschieht mit dem Update? 
Das Update behebt die Sicherheitsanfälligkeit, indem die AntiXSS-Bibliothek auf eine Version aktualisiert wird, die von der Sicherheitsanfälligkeit nicht betroffen ist.

Als dieses Sicherheitsbulletin ausgegeben wurde, wurde diese Sicherheitsanfälligkeit öffentlich offengelegt? 
Nein Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch koordinierte Offenlegung von Sicherheitsrisiken erhalten.

Als dieses Sicherheitsbulletin ausgegeben wurde, erhielt Microsoft alle Berichte, dass diese Sicherheitsanfälligkeit ausgenutzt wurde? 
Nein Microsoft hatte keine Informationen erhalten, um anzugeben, dass diese Sicherheitsanfälligkeit öffentlich für Kunden verwendet wurde, als dieses Sicherheitsbulletin ursprünglich ausgestellt wurde.

Sonstige Informationen

Danksagungen

Microsoft danke ihnen für die Zusammenarbeit mit uns, um Kunden zu schützen:

  • Adi Reiseroute von IBM Rational Application Security für die Meldung der Sicherheitsanfälligkeit in der AntiXSS-Bibliothek zur Umgehung der Sicherheitsanfälligkeit (CVE-2012-0007)

Microsoft Active Protections Program (MAPP)

Um den Sicherheitsschutz für Kunden zu verbessern, stellt Microsoft Sicherheitsrisiken für wichtige Sicherheitssoftwareanbieter im Voraus jeder monatlichen Sicherheitsupdateversion bereit. Sicherheitssoftwareanbieter können diese Sicherheitsrisikoinformationen dann verwenden, um Kunden über ihre Sicherheitssoftware oder Geräte, z. B. Antivirensoftware, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsschutzsysteme, aktualisierte Schutzmaßnahmen bereitzustellen. Um festzustellen, ob aktive Schutzmaßnahmen von Sicherheitssoftwareanbietern verfügbar sind, besuchen Sie bitte die aktiven Schutzwebsites, die von Programmpartnern bereitgestellt werden, die in Microsoft Active Protections Program (MAPP)-Partnern aufgeführt sind.

Unterstützung

  • Kunden in den USA und Kanada können technischen Support vom Security Support oder 1-866-PCSAFETY erhalten. Es fallen keine Gebühren für Supportanrufe an, die Sicherheitsupdates zugeordnet sind. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie unter Microsoft-Hilfe und -Support.
  • Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Es gibt keine Kosten für Support, die Sicherheitsupdates zugeordnet sind. Weitere Informationen zum Kontaktieren von Microsoft für Supportprobleme finden Sie auf der Website für den internationalen Support.

Haftungsausschluss

Die in der Microsoft Knowledge Base bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.

Revisionen

  • V1.0 (10. Januar 2012): Bulletin veröffentlicht.
  • V2.0 (11. Januar 2012): Angekündigt, dass das ursprüngliche Upgradepaket AntiXSS Library, Version 4.2, durch AntiXSS Library Version 4.2.1 ersetzt wurde. Alle Benutzer der AntiXSS-Bibliothek müssen ein Upgrade auf Die AntiXSS-Bibliothek, Version 4.2.1, durchführen, um sicherzustellen, dass sie vor der in diesem Bulletin beschriebenen Sicherheitsanfälligkeit geschützt sind. Weitere Informationen finden Sie in den häufig gestellten Fragen zum Update.
  • V2.1 (16. Januar 2012): Ein Link zu Microsoft Knowledge Base-Artikel 2607664 unter "Bekannte Probleme" in der Zusammenfassung der Geschäftsleitung hinzugefügt. Außerdem wurde der überarbeitete Eintrag in den Häufig gestellten Fragen zum Update überarbeitet, um zu verdeutlichen, warum das Upgrade auf AntiXSS Library, Version 4.2.1, nur über das Microsoft Download Center verfügbar ist.

Gebaut am 2014-04-18T13:49:36Z-07:00