セキュリティ情報
Microsoft セキュリティ情報 MS12-007 - 重要
AntiXSS ライブラリの脆弱性により、情報漏えいが起こる (2607664)
公開日: 2012 年 1 月 10 日 |更新日: 2012 年 1 月 16 日
バージョン: 2.1
一般情報
概要
このセキュリティ更新プログラムは、Microsoft クロス サイト スクリプティング (AntiXSS) ライブラリで非公開で報告された 1 つの脆弱性を解決します。 この脆弱性により、攻撃者が AntiXSS ライブラリのサニタイズ機能を使用して悪意のあるスクリプトを Web サイトに渡した場合、情報漏えいが起こる可能性があります。 その情報の開示の結果は、情報自体の性質によって異なります。 この脆弱性により、攻撃者はコードを実行したり、攻撃者のユーザー権限を直接昇格させたりすることはできませんが、影響を受けるシステムをさらに侵害するために使用できる情報を生成するために使用される可能性があることに注意してください。 この脆弱性の影響を受けるのは、AntiXSS ライブラリのサニタイズ モジュールを使用するサイトのみです。
このセキュリティ更新プログラムは、AntiXSS ライブラリ V3.x と AntiXSS ライブラリ V4.0 で重要と評価されています。 詳細については、このセクションの「 影響を受けるソフトウェア」と「影響を受けるソフトウェア」のサブセクションを参照してください。
この更新プログラムは、AntiXSS ライブラリを脆弱性の影響を受けないものにアップグレードすることで、この脆弱性を解決します。 この脆弱性の詳細については、次のセクション「脆弱性情報」の下にある特定の脆弱性エントリに関するよく寄せられる質問 (FAQ) サブセクションを参照 してください。
推薦。 Microsoft では、お客様ができるだけ早い機会に更新プログラムを適用することをお勧めします。
既知の問題。Microsoft サポート技術情報の記事2607664 、このセキュリティ更新プログラムをインストールするときにお客様が発生する可能性がある現在の既知の問題について説明しています。 この記事では、これらの問題に対して推奨される解決策についても説明します。
影響を受けるソフトウェアと影響を受けないもの
影響を受けるバージョンまたはエディションを特定するために、次のソフトウェアがテストされています。
影響を受けるソフトウェア
| ソフトウェア | セキュリティへの影響の最大値 | 重大度評価の集計 | この更新プログラムに置き換えられたセキュリティ情報 |
|---|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x および Microsoft Anti-Cross Site Scripting Library V4.0[1][2] | 情報漏えい | 重要 | なし |
[1]このダウンロードにより、Microsoft Anti-Cross Site Scripting (AntiXSS) ライブラリが、この脆弱性の影響を受けない新しいバージョンの Microsoft クロス サイト スクリプティング ライブラリにアップグレードされます。
[2]このアップグレードは、Microsoft ダウンロード センターからのみ入手できます。 次のセクション「 このセキュリティ更新プログラムに関連するよく寄せられる質問 (FAQ)」を参照してください。
このセキュリティ更新プログラムに関連してよく寄せられる質問 (FAQ)
このセキュリティ情報が 2012 年 1 月 11日に再リリースされた理由
Microsoft はこのセキュリティ情報を再リリースし、元のアップグレード パッケージ AntiXSS Library バージョン 4.2 が AntiXSS Library バージョン 4.2.1 に置き換えられたことをお知らせしました。 新しいバージョンでは、特定の状況で元のアップグレード パッケージのインストールが失敗する原因となった名前付けの問題が解決されます。 AntiXSS ライブラリのすべてのユーザーは、このセキュリティ情報に記載されている脆弱性から保護されるように 、AntiXSS ライブラリ バージョン 4.2.1 にアップグレードする必要があります。
私は AntiXSSライブラリを使用する開発者です。自分のシステムで更新が必要ですか?
いいえ。 AntiXSS ライブラリを使用する開発者は、このセキュリティ情報に記載されているアップグレードをインストールしてから、AntiXSS ライブラリを使用するすべてのアクティブな Web サイトに更新されたライブラリを展開する必要があります。
このアップグレードには、機能に対するセキュリティ関連の変更が含まれていますか?
はい。 このセキュリティ情報の 「脆弱性情報 」セクションに記載されている変更に加えて、新しいバージョンの AntiXSS ライブラリ (AntiXSS ライブラリ バージョン 4.2.1) にアップグレードすると、カスケード スタイル シート (CSS) が AntiXSS ライブラリによって処理される方法の機能も変更されます。 タグや属性などのスタイルを含むサニタイザーへの HTML 入力は削除されます。 スタイル タグの場合、タグの内容は残されます。 この動作は、他の無効なタグの動作と一致します。
バージョンの AntiXSSライブラリをアップグレード操作方法
お客様は、前のセクションの「影響を受けるソフトウェア」と「影響を受ける ソフトウェア」の表のダウンロード リンクを使用して、脆弱性の影響を受けなかった新しいバージョンの Microsoft Anti-Cross Site Scripting Library (AntiXSS Library バージョン 4.2.1) を入手できます。
Microsoft ダウンロード センターからのみアップグレードを利用できるのはなぜですか?
Microsoft は、AntiXSS ライブラリのアップグレードを Microsoft ダウンロード センターのみにリリースしています。 開発者は、AntiXSS ライブラリを使用するアクティブな Web サイトにのみ更新されたライブラリを展開するため、自動更新などの他の配布方法は、この種類のアップグレード シナリオには適していません。
脆弱性情報
重大度評価と脆弱性識別子
次の重大度評価は、脆弱性の潜在的な最大の影響を想定しています。 このセキュリティ情報のリリースから 30 日以内に、脆弱性の重大度評価とセキュリティへの影響に関する脆弱性の悪用可能性の可能性については、 1 月のセキュリティ情報の概要の「悪用可能性インデックス」を参照してください。 詳細については、「 Microsoft Exploitability Index」を参照してください。
| 影響を受けるソフトウェア | AntiXSS ライブラリ バイパスの脆弱性 - CVE-2012-0007 | 重大度評価の集計 |
|---|---|---|
| Microsoft Anti-Cross Site Scripting Library V3.x および Microsoft Anti-Cross Site Scripting Library V4.0 | 重要 \ 情報の開示 | 重要 |
AntiXSS ライブラリ バイパスの脆弱性 - CVE-2012-0007
Microsoft Anti-Cross Site Scripting (AntiXSS) ライブラリが特別に細工された HTML を誤ってサニタイズすると、情報漏えいの脆弱性が存在します。 攻撃者がこの脆弱性を悪用した場合、AntiXSS ライブラリを使用してユーザーが提供する HTML をサニタイズしている Web サイトでクロスサイト スクリプティング (XSS) 攻撃を実行する可能性があります。 これにより、攻撃者はサニタイズ機能を介して悪意のあるスクリプトを渡し、開示を意図していない情報を公開する可能性があります。 この情報の開示の結果は、情報自体の性質によって異なります。 この脆弱性により、攻撃者はコードを実行したり、攻撃者のユーザー権限を直接昇格させたりすることはできませんが、影響を受けるシステムをさらに侵害するために使用される可能性のある情報を生成するために使用される可能性があることに注意してください。
この脆弱性を一般的な脆弱性と露出の一覧の標準エントリとして表示するには、 CVE-2012-0007 を参照してください。
「AntiXSS ライブラリ バイパスの脆弱性」の軽減要因 - CVE-2012-0007
軽減策とは、既定の状態に存在する設定、一般的な構成、または一般的なベスト プラクティスを指します。これにより、脆弱性の悪用の重大度が低下する可能性があります。 状況によっては、次の軽減要因が役立つ場合があります。
- この脆弱性の影響を受けるのは、AntiXSS ライブラリのサニタイズ モジュールを使用するサイトのみです。
「AntiXSS ライブラリ バイパスの脆弱性」の回避策 - CVE-2012-0007
Microsoft は、この脆弱性の回避策を特定していません。
「AntiXSS ライブラリ バイパスの脆弱性」のよく寄せられる質問 - CVE-2012-0007
この脆弱性の範囲は何ですか?
これは情報漏えいの脆弱性です。 攻撃者がこの脆弱性を悪用した場合、サニタイズ機能を通じて悪意のあるスクリプトを渡し、開示を意図しない情報を公開する可能性があります。 この脆弱性により、攻撃者はコードを実行したり、攻撃者のユーザー権限を直接昇格させたりすることはできませんが、影響を受けるシステムをさらに侵害するために使用できる情報を収集するために使用される可能性があることに注意してください。
この脆弱性の原因は何ですか?
この脆弱性は、CSS エスケープ文字が検出された後、Microsoft Anti-Cross Site Scripting (AntiXSS) ライブラリが特定の文字を誤って評価した結果です。
クロス サイト スクリプティング対策 (AntiXSS) ライブラリとは
Microsoft Anti-Cross Site Scripting (AntiXSS) ライブラリは、開発者が XSS 攻撃から ASP.NET Web ベースのアプリケーションを保護するのに役立つエンコード ライブラリです。 これは、XSS 攻撃に対する保護を提供するために、ホワイト リスト手法 (包含の原則とも呼ばれる) を使用するという点で、ほとんどのエンコード ライブラリとは異なります。 この方法は、最初に有効または許容される文字セットを定義してから、このセットの外部 (無効な文字や潜在的な攻撃) をエンコードすることによって機能します。 ホワイト リスト アプローチでは、他のエンコード スキームよりもいくつかの利点があります。
攻撃者がこの脆弱性を使用して何を行う可能性がありますか?
攻撃者がこの脆弱性を悪用した場合、AntiXSS ライブラリを使用してユーザーが提供する HTML をサニタイズしている Web サイトでクロスサイト スクリプティング (XSS) 攻撃を実行する可能性があります。 その後、攻撃者はサニタイズ機能を通じて悪意のあるスクリプトを渡し、開示を意図していない情報を公開する可能性があります。 その情報の開示の結果は、情報自体の性質によって異なります。 この脆弱性により、攻撃者はコードを実行したり、攻撃者のユーザー権限を直接昇格させたりすることはできませんが、影響を受けるシステムをさらに侵害するために使用できる情報を収集するために使用される可能性があることに注意してください。
攻撃者はこの脆弱性をどのように悪用する可能性がありますか?
この脆弱性を悪用するために、攻撃者は特別に細工された HTML を、AntiXSS ライブラリのサニタイズ モジュールを使用しているターゲット Web サイトに送信する可能性があります。 AntiXSS ライブラリが HTML を誤ってサニタイズすると、特別に細工された HTML に含まれる悪意のあるスクリプトが、影響を受ける Web サーバー上で実行される可能性があります。
どのシステムが主にこの脆弱性の危険にさらされていますか?
AntiXSS ライブラリを使用する Web サーバーは、この脆弱性の危険にさらされます。
更新プログラムは何を行いますか?
この更新プログラムは、AntiXSS ライブラリを脆弱性の影響を受けないものにアップグレードすることで、この脆弱性を解決します。
このセキュリティ情報が発行されたとき、この脆弱性は公開されていますか?
いいえ。 Microsoft は、調整された脆弱性の開示により、この脆弱性に関する情報を受け取っています。
このセキュリティ情報が発行されたとき、Microsoft はこの脆弱性が悪用されたという報告を受けましたか?
いいえ。 Microsoft は、このセキュリティ情報が最初に発行されたときに、この脆弱性が顧客を攻撃するために一般に使用されたことを示す情報を受け取っていませんでした。
その他の情報
謝辞
Microsoft は 、お客様を保護するために Microsoft と協力していただきありがとうございます。
- AntiXSS ライブラリ バイパスの脆弱性を報告するための IBM Rational Application Security の Adi Cohen (CVE-2012-0007)
Microsoft Active Protections Program (MAPP)
お客様のセキュリティ保護を強化するために、Microsoft は、毎月のセキュリティ更新プログラムのリリースの前に、主要なセキュリティ ソフトウェア プロバイダーに脆弱性情報を提供します。 セキュリティ ソフトウェア プロバイダーは、この脆弱性情報を使用して、ウイルス対策、ネットワークベースの侵入検出システム、ホストベースの侵入防止システムなどのセキュリティ ソフトウェアまたはデバイスを介して、お客様に最新の保護を提供できます。 セキュリティ ソフトウェア プロバイダーからアクティブな保護を利用できるかどうかを判断するには、 Microsoft Active Protections Program (MAPP) パートナーに記載されているプログラム パートナーによって提供されるアクティブな保護 Web サイトにアクセスしてください。
サポート
- 米国およびカナダのお客様は、 セキュリティ サポート または 1-866-PCSAFETY からテクニカル サポートを受けることができます。 セキュリティ更新プログラムに関連付けられているサポート呼び出しには料金はかかりません。 使用可能なサポート オプションの詳細については、「 Microsoft ヘルプとサポート」を参照してください。
- 海外のお客様は、現地の Microsoft 子会社からサポートを受けることができます。 セキュリティ更新プログラムに関連付けられているサポートに対する料金は発生しません。 サポートの問題について Microsoft に問い合わせる方法の詳細については、 国際サポート Web サイトを参照してください。
免責情報
Microsoft サポート技術情報で提供される情報は、いかなる種類の保証もなく "現状有姿" で提供されます。 Microsoft は、商品性と特定の目的に対する適合性の保証を含め、明示または黙示を問わず、すべての保証を否認します。 Microsoft Corporation またはそのサプライヤーがこのような損害の可能性について通知された場合でも、直接、間接、付随的、派生的、事業利益の損失、特別な損害を含むいかなる損害に対しても、Microsoft Corporation またはそのサプライヤーは一切の責任を負いません。 一部の州では、派生的損害または付随的損害に対する責任の除外または制限が認められていないため、前述の制限が適用されない場合があります。
リビジョン
- V1.0 (2012 年 1 月 10 日): セキュリティ情報が公開されました。
- V2.0 (2012 年 1 月 11 日): 元のアップグレード パッケージ AntiXSS Library バージョン 4.2 が AntiXSS ライブラリ バージョン 4.2.1 に置き換えられたことを発表しました。 AntiXSS ライブラリのすべてのユーザーは、このセキュリティ情報に記載されている脆弱性から保護されるように、AntiXSS ライブラリ バージョン 4.2.1 にアップグレードする必要があります。 詳細については、更新プログラムに関する FAQ を参照してください。
- V2.1 (2012 年 1 月 16 日): エグゼクティブ サマリーの既知の問題の下に、Microsoft サポート技術情報の記事2607664へのリンクを追加しました。 また、AntiXSS ライブラリ バージョン 4.2.1 へのアップグレードが Microsoft ダウンロード センターからのみ利用できる理由を明確にするために、更新プログラムの FAQ のエントリを改訂しました。
2014-04-18T13:49:36Z-07:00 にビルド