A Microsoft számú biztonsági közleménye MS12-007 - Fontos

Az AntiXSS Library biztonsági rése információfelfedést tehet lehetővé (2607664)

Közzétéve: 2012. január 10. | Frissítve: 2012. január 16.

Verzió: 2.1

Általános tudnivalók

Összefoglalás

A biztonsági frissítés a Microsoft Anti-Cross Site Scripting (AntiXSS) Library egy közvetlenül jelentett biztonsági rését szünteti meg. A biztonsági rés illetéktelen adatelérést tehet lehetővé, ha egy támadó rosszindulatú parancsfájlt ad át egy webhelynek az AntiXSS Library tisztítási funkciójával. Az információ kiszivárgásának következménye magának az információnak a jellegétől függ. Ne feledje, hogy ez a biztonsági rés közvetlenül nem teszi lehetővé a támadó számára kód végrehajtását vagy a támadó felhasználói jogának kiterjesztését, de segítségével hasznos információ állítható elő, amelynek felhasználásával a támadó később veszélyeztetheti a rendszert. A biztonsági rés csak az AntiXSS Library tisztítómodulját használó helyeket érinti.

A biztonsági frissítés az AntiXSS Library 3.x, és az AntiXSS Library 4.0 verziójára nézve fontos besorolású. További információkért lásd az Érintett és nem érintett szoftverek részt ebben a fejezetben.

A frissítés a biztonsági rés megszüntetése érdekében a biztonsági rés által nem érintett verzióra frissíti az AntiXSS Library függvénytárat. A biztonsági réssel kapcsolatban bővebben az adott problémával foglakozó gyakran feltett kérdéseket ismertető szakaszban, A biztonsági réssel kapcsolatos tudnivalók című részben olvashat.

Javaslat: A Microsoft a biztonsági frissítés lehető leghamarabb történő telepítését javasolja ügyfeleinek.

Ismert problém ák. A Microsoft Tudásbázis 2607664. számú cikkében olvasható, hogy a felhasználók a biztonsági frissítés telepítésekor milyen ismert problémákkal találkozhatnak. A cikkben a problémákra javasolt megoldások is szerepelnek.

Érintett és nem érintett szoftverek

Az itt felsorolt szoftvereket a verziók és változatok érintettségének felderítése érdekében teszteltük.

Érintett szoftverek

SzoftverMaximális biztonsági hatásÖsszesített súlyossági besorolásA frissítés által felváltott közlemények
Microsoft Anti-Cross Site Scripting Library 3.x és Microsoft Anti-Cross Site Scripting Library 4.0 verzió [1][2] Adatokhoz való illetéktelen hozzáférésFontosNincsenek

[1]A letöltés a Microsoft Anti-Cross Site Scripting (AntiXSS) Library újabb, a biztonsági rés által nem érintett verziójára frissíti a Microsoft Anti-Cross Site Scripting Library függvénytárat.

[ 2 ]Ez a frissítés kizárólag a Microsoft letöltő központból érhető el. Tekintse meg a következő, Gyakran ismételt kérdések a biztonsági frissítéssel kapcsolatban című részt.

Miért adták ki újra a közleményt 2012. január 11-én ?
A Microsoft a közlemény újbóli kiadásával azt jelentette be, hogy az eredeti frissítőcsomag, az AntiXSS Library 4.2 verzióját lecserélték az AntiXSS Library 4.2.1 verziójával. Az új verzió egy elnevezési hibát javít ki, amely miatt az eredeti frissítőcsomag telepítése bizonyos körülmények esetén meghiúsul. Az AntiXSS Library összes felhasználójának az AntiXSS Library 4.2.1 verziójára frissítve kell biztosítania, hogy védettek legyenek a közleményben leírt biztonsági réssel szemben.

Programfejlesztő va gyok, és az AntiXSS Library függvénytárat használom. Elég, ha futtatom a frissítést a rendszeren ?
Nem. Az AntiXSS Library függvénytárat használó fejlesztőknek telepíteniük kell a közleményben ismertetett frissítést, majd az AntiXSS Library függvénytárat használó minden aktív webhelyükre is telepíteniük kell a frissített függvénytárat.

Tartalmaz a frissítés funkcionalitásbeli módosítást is?
Igen. Az AntiXSS Library újabb (AntiXSS Library 4.2.1) verziójára történő frissítés A biztonsági rés részletes ismertetése című szakaszban ismertetett módosítások mellett az egymásra épülő stíluslapok (CSS) AntiXSS Library általi kezelési módját is megváltoztatja. A tisztítómodul a stílusokat, például címkéket és attribútumokat törli a feldolgozott HTML-kódból. Stíluscímkék esetén a címke tartalma megmarad. Ez a viselkedés konzisztens a többi érvénytelen címke esetén tanúsított viselkedéssel.

Hogyan frissíthetem az AntiXSS Library verzióját ?
A felhasználók az Érintett és nem érintett szoftverek című fenti résznek az érintett szoftvereket tartalmazó táblázatában található letöltési hivatkozással tölthetik le a Microsoft Anti-Cross Site Scripting Library újabb, a biztonsági rés által nem érintett verzióját (AntiXSS Library 4.2.1).

Miért csak a Microsoft letöltő központból érhető el a frissítés ?
Az AntiXSS Library frissítését a Microsoft csak a Microsoft Letöltőközpontban teszi közzé. Mivel a fejlesztők a frissített könyvtárat csak az AntiXSS Library lehetőséget használó aktív weboldalakon alkalmazzák, a többi terjesztési módszer, köztük az automatikus frissítés, ebben az esetben nem megfelelő.

A biztonsági réssel kapcsolatos tudnivalók

A következő súlyossági besorolások a biztonsági rés maximálisan feltételezett hatását veszik számba. A biztonsági rés kihasználásának valószínűségére nézve a biztonsági közlemény kiadásától számított 30 napon belül, továbbá a súlyossági besoroláshoz és a biztonsági rendszeren kiváltott hatáshoz képest lásd a januári összefoglaló közlemény Kihasználhatósági információk című részét. Bővebb információkért lásd: Microsoft Kihasználhatósági információk.

Biztonsági rés súlyossági besorolása és a maximális biztonsági hatás szoftverenkénti felbontásban
Érintett szoftverekAz AntiXSS Library megkerülése miatti biztonsági rés - CVE-2012-0007 Összesített súlyossági besorolás
Microsoft Anti-Cross Site Scripting Library 3.x és Microsoft Anti-Cross Site Scripting Library 4.0 verzió Fontos
Adatokhoz való illetéktelen hozzáférés
Fontos

A Microsoft Anti-Cross Site Scripting (AntiXSS) Library függvénytárban a különlegesen kialakított HTML-kódok nem megfelelő megtisztítása miatt információfelfedést lehetővé tévő biztonsági rés található. A biztonsági rést sikeresen kihasználó támadó idegen webhelyeken lévő parancsfájlok futtatására (XSS) képes a felhasználói HTML-kód megtisztítására az AntiXSS Library függvénytárat használó webhelyeken. Ennek segítségével kártékony kódot juttathat át a tisztítási funkción, és titkosnak szánt adatokat szerezhet meg. Az információ kiszivárgásának következménye magának az információnak a jellegétől függ. Ne feledje, hogy ez a biztonsági rés közvetlenül nem teszi lehetővé a támadó számára kód végrehajtását vagy a támadó felhasználói jogának kiterjesztését, de segítségével hasznos információ állítható elő, amelynek felhasználásával a támadó később veszélyeztetheti a rendszert.

A biztonsági rés standard bejegyzésének megtekintéséhez a normál biztonsági rés besorolási listáján lásd: CVE-2012-0007.

Az AntiXSS Library megkerülése miatti biztonsági rés (CVE-2012-0007) súlyosságát enyhítő tényezők

Az enyhítő tényezők közé sorolható egy beállítás, konfiguráció vagy általánosan bevált gyakorlat, amely alapértelmezett állapotában csökkentheti a biztonsági rés kihasználásának valószínűségét. A következő enyhítő tényezők hasznosnak bizonyulhatnak:

  • A biztonsági rés csak az AntiXSS Library tisztítómodulját használó helyeket érinti.

Az AntiXSS Library megkerülése miatti biztonsági rés (CVE-2012-0007) lehetséges megoldásai

A Microsoft egyelőre nem talált lehetséges megoldást a biztonsági rés megszüntetésére.

Gyakori kérdések az AntiXSS Library megkerülése miatti biztonsági réssel (CVE-2012-0007) kapcsolatban

Mire terjed ki a biztonsági rés hatása?
A biztonsági rés illetéktelen adatelérést okoz. A biztonsági rést sikerrel kihasználó támadó kártékony kódot juttathat át a tisztítási funkción, és titkosnak szánt adatokat szerezhet meg. Ne feledje, hogy ez a biztonsági rés közvetlenül nem teszi lehetővé a támadó számára kód végrehajtását vagy a támadó felhasználói jogának kiterjesztését, de segítségével hasznos információ gyűjthető, amelynek felhasználásával a támadó később veszélyeztetheti a rendszert.

Mi okozza a biztonsági rést?
A biztonsági rés oka, hogy a Microsoft Anti-Cross Site Scripting (AntiXSS) Library CSS escape karakter érzékelését követően helytelenül értékel bizonyos karaktereket.

Mi az az Anti-Cross Site Scripting ( AntiXSS ) Library ?
A Microsoft Anti-Cross Site Scripting (AntiXSS) Library kódoló függvénytár a programfejlesztők számára nyújt segítséget ahhoz, hogy védelmet nyújtsanak az ASP.NET webalapú alkalmazásaiknak az XSS-támadásokkal szemben. Abban különbözik a legtöbb kódoló függvénytártól, hogy engedélyezőlista (más néven kivétellista – „whitelist”) segítségével nyújt védelmet az XSS-támadások ellen. Ez a megközelítés úgy működik, hogy először meghatározzák az érvényes vagy engedélyezett karaktereket, majd a függvénytár ezeken kívül mindent kódol (az érvénytelen karaktereket és a potenciális támadásokat is). Az engedélyezőlistás megközelítés számos előnnyel rendelkezik az egyéb kódolási rendszerekhez képest.

Mire használhatja a biztonsági rést a támadó?
A biztonsági rést sikeresen kihasználó támadó idegen webhelyeken lévő parancsfájlok futtatására (XSS) képes a felhasználói HTML-kód megtisztítására az AntiXSS Library függvénytárat használó webhelyeken. Ezt követően kártékony kódot juttathat át a tisztítási funkción, és titkosnak szánt adatokat szerezhet meg. Az információ kiszivárgásának következménye magának az információnak a jellegétől függ. Ne feledje, hogy ez a biztonsági rés közvetlenül nem teszi lehetővé a támadó számára kód végrehajtását vagy a támadó felhasználói jogának kiterjesztését, de segítségével hasznos információ gyűjthető, amelynek felhasználásával a támadó később veszélyeztetheti a rendszert.

Hogyan használhatja ki a támadó a biztonsági rést?
A támadó a biztonsági rés kihasználása céljából különlegesen kialakított HTML-kódot küldhet az AntiXSS Library függvénytár tisztítómodulját használó webhelyekre. Ha az AntiXSS Library nem megfelelően tisztítja meg a HTML-kódot, a különlegesen kialakított HTML-kódban található kártékony programkód futtatható az érintett webkiszolgálón.

Mely rendszerekre jelenti a legnagyobb veszélyt a biztonsági rés?
A biztonsági rés az AntiXSS Library függvénytárat használó webkiszolgálókra jelent veszélyt.

Mi a frissítés feladata?
A frissítés a biztonsági rés megszüntetése érdekében a biztonsági rés által nem érintett verzióra frissíti az AntiXSS Library függvénytárat.

Ismert volt-e a nyilvánosság előtt ez a biztonsági rés az említett közlemény kiadásának idején?
Nem. A Microsoft ezt a célt szolgáló koordinált tájékoztatáson keresztül szerzett tudomást a biztonsági résről.

A közlemény kibocsátásáig kapott-e a Microsoft a biztonsági rés kihasználásáról tájékoztató értesítést?
Nem. A Microsoft nem kapott olyan információt, hogy a biztonsági közlemény eredeti változatának megjelenéséig a biztonsági rést felhasználták volna nyilvános támadásra.

Egyéb információ

Köszönetnyilvánítás

A Microsoft köszönetét fejezi ki a vásárlók védelmének biztosításában nyújtott segítségért az alábbi szervezet(ek)nek és szakember(ek)nek:

Microsoft Active Protections Program (MAPP)

Az ügyfelek védelmének növelése érdekében a biztonsági szoftverekkel foglalkozó nagyobb gyártók a Microsoft a havi biztonsági közlemények megjelenése előtt ellátja biztonsági résekkel kapcsolatos információkkal. Így a biztonságiszoftver-gyártók a kapott biztonsági résekkel kapcsolatos információt felhasználhatják ügyfeleik hatásosabb védelmére az olyan biztonsági szoftverek vagy eszközök (például víruskeresők, hálózati behatolásérzékelő rendszerek vagy kiszolgálóalapú behatolásvédelmi rendszerek) frissítése által. A biztonságiszoftver-gyártók által kiadott aktív védelem elérhetőségéről a Microsoft Active Protections Program (MAPP) Partners webhelyén található listán szereplő és a programban részt vevő gyártók aktív védelmi webhelyein tájékozódhat.

Terméktámogatás

Felelősséget kizáró nyilatkozat

A Microsoft Tudásbázisban leírtak előzetes bejelentés nélkül változhatnak, és a cikkek tartalmáért a Microsoft nem vállal garanciát. A Microsoft egyben elhárít minden kifejezett és értelemszerű garanciát, beleértve az eladhatóságra és az adott célra való alkalmasságra vonatkozó garanciát is. A Microsoft Corporation vagy annak szállítói semmilyen körülmények között nem tehetők felelőssé közvetlen, közvetett, eseti, ok-okozati vagy különleges kárért (beleértve az elmaradt hasznot is), még akkor sem, ha a Microsoft Corporation vagy szállítói tudatában voltak a kár lehetséges voltának. Egyes államok törvényi szabályozása nem teszi lehetővé a véletlen vagy ok-okozati károkért vállalt felelősség korlátozását vagy kizárását, így ezekben az államokban az ez a felelősségkizárás nincs érvényben.

Verziók

  • 1.0 verzió (2012. január 10.): Közlemény kiadva.
  • 2.0 verzió (2012. január 11.): Annak bejelentése, hogy az eredeti frissítőcsomagot, az AntiXSS Library 4.2 verzióját lecserélték az AntiXSS Library 4.2.1 verziójával. Az AntiXSS Library összes felhasználójának az AntiXSS Library 4.2.1 verziójára frissítve kell biztosítania, hogy védettek legyenek a közleményben leírt biztonsági réssel szemben. További tájékoztatást a gyakran ismételt kérdések részben talál.
  • 2.1 verzió (2012. január 16.): Új hivatkozás a Microsoft Tudásbázis 2607664 számú cikkére az Összefoglalás rész Ismert problémák c. szakaszában. A frissítés arra is kitér, hogy az AntiXSS Library 4.2.1 verziójának frissítése miért csak a Microsoft Letöltőközpontjából érhető el.

Built at 2014-04-18T01:50:00Z-07:00

Megjelenítés: