マイクロソフト セキュリティ情報 MS12-007 - 重要

AntiXSS Library の脆弱性により、情報漏えいが起こる (2607664)

公開日: 2012年1月11日 | 最終更新日: 2012年1月18日

バージョン: 2.1

概説

概要

このセキュリティ更新プログラムは、1 件の非公開で報告された Microsoft Anti-Cross Site Scripting (AntiXSS) Library の脆弱性を解決します。この脆弱性により、AntiXSS Library のサニタイズ機能を使用している Web サイトに攻撃者が悪意のあるスクリプトを渡すと、情報漏えいが起こる可能性があります。その場合の情報漏えいの影響は、情報自体の性質によって異なります。攻撃者は、この脆弱性により、直接コードを実行したり、ユーザーの権限を昇格させたりすることはできませんが、この脆弱性を悪用して、攻撃に使用する情報を作成し、影響を受けるコンピューターをさらに侵害しようとする可能性があります。AntiXSS Library のサニタイズ モジュールを使用するサイトのみがこの脆弱性の影響を受けます。

このセキュリティ更新プログラムは、AntiXSS Library V3.x および AntiXSS Library V4.0 について深刻度を「重要」と評価しています。詳細については、このセクションの「影響を受けるソフトウェアおよび影響を受けないソフトウェア」のサブセクションを参照してください。

この更新プログラムは、AntiXSS Library をこの脆弱性の影響を受けないバージョンにアップグレードすることにより、この脆弱性を解決します。この脆弱性に関する詳細については、次の「脆弱性の情報」のセクションの特定の脆弱性に関するサブセクション「よく寄せられる質問 (FAQ)」を参照してください。

推奨する対応策: マイクロソフトはお客様が、できるだけ早い機会にこの更新プログラムを適用することを推奨します。

既知の問題 マイクロソフト サポート技術情報 2607664 で、このセキュリティ更新プログラムをインストールする際に起こる可能性のある既知の問題に関して説明しています。また、これらの問題に対する推奨される解決策についても説明しています。

影響を受けるソフトウェアと影響を受けないソフトウェア

ここに記載されているソフトウェアをテストし、影響を受けるバージョンまたはエディションを確認しました。

影響を受けるソフトウェア

ソフトウェア 最も深刻な脆弱性の影響 総合的な深刻度 この更新プログラムにより置き換えられるセキュリティ情報
Microsoft Anti-Cross Site Scripting Library V3.x および Microsoft Anti-Cross Site Scripting Library V4.0[1][2] 情報漏えい 重要 なし

[1] このダウンロードは、Microsoft Anti-Cross Site Scripting (AntiXSS) Library をこの脆弱性の影響を受けない新バージョンの Microsoft Anti-Cross Site Scripting Library にアップグレードします。

[2] このアップグレード プログラムは、マイクロソフト ダウンロード センターでのみ利用可能です。次のセクション「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」をご覧ください。

このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)

なぜこのセキュリティ情報は 2012 年 1 月 18 日に更新されたのですか? 
マイクロソフトはこのセキュリティ情報を再リリースし、当初のアップグレード パッケージである AntiXSS Library version 4.2 が AntiXSS Library version 4.2.1 に置き換わったことをお知らせしました。新バージョンでは、当初のアップグレード パッケージが特定の状況でエラーになる問題を引き起こす、名前付けに関する問題が解決されています。AntiXSS Library のすべてのユーザーは、AntiXSS Library version 4.2.1 にアップグレードして、このセキュリティ情報で説明されている脆弱性からの保護を確実にしてください。

AntiXSS Library を使用して 開発を行っています。システムを更新するだけでいいですか?  いいえ。AntiXSS Library を使用している開発者の皆様は、このセキュリティ情報で説明しているアップグレードをインストールし、さらに、AntiXSS Library を使用するすべてのアクティブな Web サイトに、更新されたライブラリを展開する必要があります。

この アップグレードはその他のセキュリティ関連の変更を含みますか? 
はい。このセキュリティ情報の「脆弱性の情報」の欄に記載されている変更のほか、AntiXSS Library の新バージョン (AntiXSS Library version 4.2.1) へのアップグレードにより、AntiXSS Library によるカスケード スタイル シート (CSS) の処理も変更されます。サニタイズ機能への HTML 入力は、タグや属性などのスタイルも含めて削除されます。スタイル タグについては、タグの内容は捨て去られます。この動作は、他の無効なタグに対する動作と一貫しています。

AntiXSS Library のバージョンのアップグレード方法を教えてください 。  この脆弱性の影響を受けない新バージョンの Microsoft Anti-Cross Site Scripting Library (AntiXSS Library version 4.2.1) を入手するには、上記の「影響を受けるソフトウェアおよび影響を受けないソフトウェア」にある「影響を受けるソフトウェア」の表のダウンロード リンクを使用します。

なぜ このアップグレードはマイクロソフト ダウンロード センターでのみ利用可能なのですか?   マイクロソフトは マイクロソフト ダウンロード センターでのみ、AntiXSS Library 用の更新プログラムを公開しています。この理由は、開発者は更新されたライブラリを AntiXSS Library を使用する有効な Web サイトにのみ適用するため、自動更新などのその他の配布方法はこの種類のアップグレードのシナリオに適していません。

脆弱性の情報

深刻度および脆弱性識別番号

次の深刻度の評価は、脆弱性の影響が最も深刻な場合を想定しています。深刻度の評価およびセキュリティ上の影響に関連して、このセキュリティ情報の公開から 30 日以内にこの脆弱性が悪用される可能性に関する情報については、1 月のセキュリティ情報の概要の Exploitability Index (悪用可能性指標) を参照してください。詳細については、Microsoft Exploitability Index (悪用可能性指標) を参照してください。

影響を受けるソフトウェアごとの脆弱性の深刻度および最大のセキュリティ上の影響
影響を受けるソフトウェア AntiXSS Library のバイパスの脆弱性 - CVE-2012-0007 総合的な深刻度
Microsoft Anti-Cross Site Scripting Library V3.x および Microsoft Anti-Cross Site Scripting Library V4.0 重要 
情報漏えい
重要
AntiXSS Library のバイパスの脆弱性 - CVE-2012-0007 -------------------------------------------------- Microsoft Anti-Cross Site Scripting (AntiXSS) Library が特別に細工された HTML を正しくサニタイズしなかった場合に、情報漏えいの脆弱性が存在します。攻撃者はこの脆弱性を悪用し、ユーザー指定 HTML のサニタイズに AntiXSS Library を使用する Web サイトに対し、クロスサイト スクリプティング (XSS) 攻撃を実行する可能性があります。それにより、攻撃者はサニタイズ機能を通過する悪意のあるスクリプトを渡して、開示する意図のない情報を漏えいさせる可能性があります。その場合の情報漏えいの影響は、情報自体の性質によって異なります。攻撃者は、この脆弱性を悪用しても、直接コードを実行したりユーザーの権限を昇格させたりすることはできませんが、攻撃に使用する情報を作成し、影響を受けるコンピューターをさらに侵害することが可能です。 Common Vulnerabilities and Exposures のリストの標準のエントリとしてこの脆弱性を確認するには、[CVE-2012-0007](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-0007) を参照してください。 #### 「AntiXSS Library のバイパスの脆弱性」の問題を緩和する要素 - CVE-2012-0007 緩和する要素は、既定の状態における設定、一般的な構成または最善策を示し、脆弱性悪用の深刻度が下がる場合があります。お客様の状況で、次の「緩和する要素」が役立つ場合があります。 - AntiXSS Library のサニタイズ モジュールを使用するサイトのみがこの脆弱性の影響を受けます。 #### 「AntiXSS Library のバイパスの脆弱性」の回避策 - CVE-2012-0007 マイクロソフトは、この脆弱性の回避策を確認していません。 #### 「AntiXSS Library のバイパスの脆弱性」のよく寄せられる質問 - CVE-2012-0007 この脆弱性により、どのようなことが起こる可能性がありますか?  これは情報漏えいの脆弱性です。攻撃者がこの脆弱性を悪用した場合、サニタイズ機能を通過する悪意のあるスクリプトを渡して、開示する意図のない情報を漏えいさせる可能性があります。攻撃者は、この脆弱性を悪用しても、直接コードを実行したりユーザーの権限を昇格させたりすることはできませんが、攻撃に使用する情報を収集し、影響を受けるコンピューターをさらに侵害することが可能です。 何が原因で起こりますか?  Microsoft Anti-Cross Site Scripting (AntiXSS) Library が、CSS エスケープ文字の検出後に、ある特定の文字を正しく評価しないことが原因で、この脆弱性が起こります。 Anti-Cross Site Scripting (AntiXSS) Library とは何ですか?  Microsoft Anti-Cross Site Scripting (AntiXSS) Library は、開発者が ASP.NET Web ベース アプリケーションを XSS 攻撃から保護する手助けとなるよう設計された、エンコーディング ライブラリです。多くのエンコーディング ライブラリとの相異点として、ホワイトリスト方式 (「包含原理」とも呼ばれます) を使用して XSS 攻撃への保護を提供していることが挙げられます。この手法では、まず有効な文字セットや許可される文字セットを定義した上で、定義した文字セットに当てはまらないもの (無効な文字や潜在的な攻撃) をエンコードします。ホワイトリストによる方式は、他のエンコーディング スキームと比べていくつか優れた点があります。 この脆弱性により、攻撃者は何を行う可能性がありますか?  攻撃者はこの脆弱性を悪用し、ユーザー指定 HTML のサニタイズに AntiXSS Library を使用する Web サイトに対し、クロスサイト スクリプティング (XSS) 攻撃を実行する可能性があります。それにより、攻撃者はサニタイズ機能を通過する悪意のあるスクリプトを渡して、開示する意図のない情報を漏えいさせる可能性があります。その場合の情報漏えいの影響は、情報自体の性質によって異なります。攻撃者は、この脆弱性を悪用しても、直接コードを実行したりユーザーの権限を昇格させたりすることはできませんが、攻撃に使用する情報を収集し、影響を受けるコンピューターをさらに侵害することが可能です。 攻撃者はこの 脆弱性をどのように悪用する可能性がありますか?  この脆弱性を悪用するため、攻撃者は AntiXSS Library のサニタイズ モジュールを使用しているターゲット Web サイトに、特別に細工された HTML を送信する可能性があります。AntiXSS Library が HTML を正しくサニタイズしなかった場合、特別に細工された HTML に含まれる悪意のあるスクリプトが、影響を受けた Web サーバーで実行される可能性があります。 主にどのコンピューターがこの脆弱性による危険にさらされますか?  AntiXSS Library を使用している Web サーバーがこの脆弱性による危険にさらされます。 この更新プログラムはどのように問題を修正しますか?  この更新プログラムは、AntiXSS Library をこの脆弱性の影響を受けないバージョンにアップグレードすることにより、この脆弱性を解決します。 このセキュリティ情報の公開時に、この脆弱性は一般に知られていましたか?  いいえ。マイクロソフトは協調的な脆弱性の公開を通して、この脆弱性に関する情報を受けました。 このセキュリティ情報の公開時に、マイクロソフトはこの脆弱性が悪用されたという報告を受けていましたか?  いいえ。マイクロソフトは、このセキュリティ情報が最初に公開された際に、この脆弱性が一般で悪用され、お客様が攻撃されていたことを示す情報を受けていませんでした。 ### 関連情報 #### 謝辞 この問題を連絡し、顧客の保護に協力してくださった下記の方に対し、マイクロソフトは深い[謝意](https://technet.microsoft.com/ja-jp/security/bulletin/policy)を表します。 - AntiXSS Library のバイパスの脆弱性 (CVE-2012-0007) を報告してくださった [IBM Rational Application Security](https://blog.watchfire.com/) の Adi Cohen 氏 #### Microsoft Active Protections Program (MAPP) お客様のセキュリティ保護をより向上させるために、マイクロソフトは、月例のセキュリティ更新プログラムの公開に先立ち、脆弱性情報を主要なセキュリティ ソフトウェア プロバイダーに提供しています。セキュリティ ソフトウェア プロバイダーは、この脆弱性の情報を使用し、ウイルス対策、ネットワーク ベースの侵入検出システムまたはホスト ベースの侵入防止システムを介して、お客様に最新の保護環境を提供します。このような保護環境を提供するセキュリティ ソフトウェア ベンダーの情報については、[Microsoft Active Protections Program (MAPP) パートナー](https://go.microsoft.com/fwlink/?linkid=215201)に記載されている各社の Web サイトを参照してください。 #### サポート - セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などがありましたら、[マイクロソフト セキュリティ情報センター](https://go.microsoft.com/fwlink/?linkid=21131)までご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償でサポートをご提供いたします。利用可能なサポート オプションの詳細については、[マイクロソフト サポート オンライン](https://support.microsoft.com/?ln=ja)を参照してください。 - その他、製品に関するご質問は、マイクロソフト プロダクト サポートまでご連絡ください。マイクロソフトでは、お問い合わせの内容が弊社製品の不具合が原因である場合、無償またはインシデントの未消費にてサポートをご提供いたします。マイクロソフト プロダクト サポートへの連絡方法については、[こちら](https://go.microsoft.com/fwlink/?linkid=21155)を参照してください。 #### 免責 この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation 及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation 及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行いません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。 #### 更新履歴 - V1.0 (2012/01/11):このセキュリティ情報ページを公開しました。 - V2.0 (2012/01/16):当初のアップグレード パッケージである AntiXSS Library version 4.2 が AntiXSS Library version 4.2.1 に置き換えられたことをお知らせしました。AntiXSS Library のすべてのユーザーは、AntiXSS Library version 4.2.1 にアップグレードして、このセキュリティ情報で説明されている脆弱性からの保護を確実にしてください。詳細については、更新された「よく寄せられる質問」を参照してください。 - V2.1 (2012/01/18):このセキュリティ情報ページを更新し、「概要」の「既知の問題」に、サポート技術情報 2607664 へのリンクを追加しました。また、「このセキュリティ更新プログラムに関するよく寄せられる質問 (FAQ)」を更新し、AntiXSS Library version 4.2.1 がマイクロソフト ダウンロード センターでのみご利用いただける理由を説明しました。 *Built at 2014-04-18T01:50:00Z-07:00*