Boletim de Segurança
Boletim de Segurança da Microsoft MS12-007 - Importante
Vulnerabilidade na Biblioteca AntiXSS Pode Permitir a Divulgação de Informações (2607664)
Publicado: 10 de janeiro de 2012 | Atualizado: January 16, 2012
Versão: 2.1
Informações Gerais
Resumo executivo
Esta atualização de segurança resolve uma vulnerabilidade relatada em particular na Biblioteca Anti-Cross Site Scripting (AntiXSS) da Microsoft. A vulnerabilidade pode permitir a divulgação de informações se um invasor passar um script malicioso para um site usando a função de limpeza da AntiXSS Library. As consequências da divulgação dessas informações dependem da natureza da própria informação. Observe que essa vulnerabilidade não permitiria que um invasor executasse código ou elevasse os direitos de usuário do invasor diretamente, mas poderia ser usada para produzir informações que poderiam ser usadas para tentar comprometer ainda mais o sistema afetado. Somente os sites que usam o módulo de limpeza da AntiXSS Library são afetados por essa vulnerabilidade.
Esta atualização de segurança é classificada como Importante para a AntiXSS Library V3.x e a AntiXSS Library V4.0. Para obter mais informações, consulte a subseção Software afetado e não afetado, nesta seção.
A atualização elimina a vulnerabilidade atualizando a Biblioteca AntiXSS para uma versão que não seja afetada pela vulnerabilidade. Para obter mais informações sobre a vulnerabilidade, consulte a subseção Perguntas Frequentes (FAQ) para obter a entrada de vulnerabilidade específica na próxima seção, Informações sobre a vulnerabilidade.
Recomendação. A Microsoft recomenda que os clientes apliquem a atualização na primeira oportunidade.
Problemas conhecidos.O artigo 2607664 da Base de Dados de Conhecimento da Microsoft documenta os problemas atualmente conhecidos que os clientes podem enfrentar ao instalar esta atualização de segurança. O artigo também documenta soluções recomendadas para esses problemas.
Software afetado e não afetado
O software a seguir foi testado para determinar quais versões ou edições são afetadas.
Software afetado
| Software | Impacto máximo na segurança | Classificação de gravidade agregada | Boletins substituídos por esta atualização |
|---|---|---|---|
| Biblioteca de Scripts Anti-Site da Microsoft V3.x e Biblioteca de Scripts Anti-Site da Microsoft V4.0[1][2] | Divulgação de informações | Importante | Nenhum |
[1]Este download atualiza a Biblioteca Microsoft Anti-Cross Site Scripting (AntiXSS) para uma versão mais recente da Microsoft Anti-Cross Site Scripting Library que não é afetada pela vulnerabilidade.
[2]Essa atualização está disponível apenas no Centro de Download da Microsoft. Consulte a próxima seção, Perguntas frequentes relacionadas a esta atualização de segurança.
Perguntas frequentes relacionadas a esta atualização de segurança
Por que este boletim foi relançado em 11 de janeiro de 2012?
A Microsoft relançou este boletim para anunciar que o pacote de atualização original, AntiXSS Library versão 4.2, foi substituído pelo AntiXSS Library versão 4.2.1. A nova versão resolve um problema de nomenclatura que fazia com que a instalação do pacote de atualização original falhasse em determinadas circunstâncias. Todos os usuários da AntiXSS Library precisarão atualizar para a versão 4.2.1 da AntiXSS Library para ajudar a garantir que estejam protegidos contra a vulnerabilidade descrita neste boletim.
Sou um desenvolvedor que usa a AntiXSS Library. Eu só preciso da atualização no meu sistema?
Não. Os desenvolvedores que usam a AntiXSS Library devem instalar a atualização descrita neste boletim e, em seguida, também implantar a biblioteca atualizada em todos os seus sites ativos que usam a AntiXSS Library.
Esta atualização contém alguma alteração relacionada à segurança na funcionalidade?
Sim. Além das alterações listadas na seção Informações sobre a vulnerabilidade deste boletim, a atualização para uma versão mais recente da AntiXSS Library (AntiXSS Library versão 4.2.1) também altera a funcionalidade de como as CSS (Cascading Style Sheets) são tratadas pela AntiXSS Library. A entrada HTML para o desinfetante que contém estilos, como tags ou atributos, será removida. Para tags de estilo, o conteúdo da tag será deixado para trás. Esse comportamento é consistente com o comportamento de outras tags inválidas.
Como faço para atualizar minha versão da AntiXSS Library?
Os clientes podem obter uma versão mais recente da Microsoft Anti-Cross Site Scripting Library (AntiXSS Library versão 4.2.1) que não é afetada pela vulnerabilidade usando o link de download na tabela Software afetado na seção anterior, Software afetado e não afetado.
Por que a atualização está disponível apenas no Centro de Download da Microsoft?
A Microsoft está lançando a atualização da AntiXSS Library apenas para o Centro de Download da Microsoft. Como os desenvolvedores implantam a biblioteca atualizada apenas em sites ativos que usam a AntiXSS Library, outros métodos de distribuição, como atualização automática, não são apropriados para esse tipo de cenário de atualização.
Informações sobre a vulnerabilidade
Classificações de gravidade e identificadores de vulnerabilidade
As classificações de gravidade a seguir pressupõem o impacto máximo potencial da vulnerabilidade. Para obter informações sobre a probabilidade, dentro de 30 dias após o lançamento deste boletim de segurança, da exploração da vulnerabilidade em relação à sua classificação de gravidade e impacto na segurança, consulte o Índice de Exploração no resumo do boletim de janeiro. Para obter mais informações, consulte Índice de Exploração da Microsoft.
| Software afetado | Vulnerabilidade de desvio da biblioteca AntiXSS - CVE-2012-0007 | Classificação de gravidade agregada |
|---|---|---|
| Biblioteca de Scripts Anti-Site da Microsoft V3.x e Biblioteca de Scripts Anti-Site da Microsoft V4.0 | Importante \ Divulgação de informações | Importante |
Vulnerabilidade de desvio da biblioteca AntiXSS - CVE-2012-0007
Existe uma vulnerabilidade de divulgação não autorizada de informações quando a Biblioteca Microsoft Anti-Cross Site Scripting (AntiXSS) limpa incorretamente HTML especialmente criado. Um invasor que explorasse com êxito essa vulnerabilidade poderia executar um ataque XSS (cross-site scripting) em um site que esteja usando a AntiXSS Library para limpar o HTML fornecido pelo usuário. Isso pode permitir que um invasor passe um script mal-intencionado por meio de uma função de limpeza e exponha informações que não devem ser divulgadas. As consequências da divulgação dessas informações dependem da natureza da própria informação. Observe que essa vulnerabilidade não permitiria que um invasor executasse código ou elevasse os direitos de usuário do invasor diretamente, mas poderia ser usada para produzir informações que poderiam ser usadas na tentativa de comprometer ainda mais o sistema afetado.
Para exibir essa vulnerabilidade como uma entrada padrão na lista de Vulnerabilidades e Exposições Comuns, consulte CVE-2012-0007.
Factores atenuantes para a vulnerabilidade de desvio da biblioteca AntiXSS - CVE-2012-0007
Mitigação refere-se a uma configuração, configuração comum ou prática recomendada geral, existente em um estado padrão, que pode reduzir a gravidade da exploração de uma vulnerabilidade. Os seguintes fatores atenuantes podem ser úteis em sua situação:
- Somente os sites que usam o módulo de limpeza da AntiXSS Library são afetados por essa vulnerabilidade.
Soluções alternativas para a vulnerabilidade de desvio da biblioteca AntiXSS - CVE-2012-0007
A Microsoft não identificou nenhuma solução alternativa para essa vulnerabilidade.
Perguntas Mais Frequentes sobre a Vulnerabilidade de Bypass da Biblioteca AntiXSS - CVE-2012-0007
Qual é o escopo da vulnerabilidade?
Esta é uma vulnerabilidade de divulgação de informações. Um invasor que explorasse com êxito essa vulnerabilidade poderia passar um script mal-intencionado por meio de uma função de limpeza e expor informações que não deveriam ser divulgadas. Observe que essa vulnerabilidade não permitiria que um invasor executasse código ou elevasse os direitos de usuário do invasor diretamente, mas poderia ser usada para coletar informações que poderiam ser usadas na tentativa de comprometer ainda mais o sistema afetado.
O que causa a vulnerabilidade?
A vulnerabilidade é o resultado da Microsoft Anti-Cross Site Scripting (AntiXSS)
O que é a Biblioteca Anti-Cross Site Scripting (AntiXSS)?
A Biblioteca Anti-Cross Site Scripting (AntiXSS) da Microsoft é uma biblioteca de codificação projetada para ajudar os desenvolvedores a proteger seus aplicativos baseados na Web ASP.NET contra ataques XSS. Ele difere da maioria das bibliotecas de codificação porque usa a técnica de lista branca - às vezes chamada de princípio de inclusões - para fornecer proteção contra ataques XSS. Essa abordagem funciona primeiro definindo um conjunto de caracteres válido ou permitido e, em seguida, codificando qualquer coisa fora desse conjunto (caracteres inválidos ou possíveis ataques). A abordagem de lista branca oferece várias vantagens em relação a outros esquemas de codificação.
Para que um invasor pode usar a vulnerabilidade?
Um invasor que explorasse com êxito essa vulnerabilidade poderia executar um ataque XSS (cross-site scripting) em um site que esteja usando a AntiXSS Library para limpar o HTML fornecido pelo usuário. Um invasor pode então passar um script malicioso por meio de uma função de limpeza e expor informações que não devem ser divulgadas. As consequências da divulgação dessas informações dependem da natureza da própria informação. Observe que essa vulnerabilidade não permitiria que um invasor executasse código ou elevasse os direitos de usuário do invasor diretamente, mas poderia ser usada para coletar informações que poderiam ser usadas na tentativa de comprometer ainda mais o sistema afetado.
Como um invasor pode explorar a vulnerabilidade?
Para explorar essa vulnerabilidade, um invasor pode enviar HTML especialmente criado para um site de destino que esteja usando o módulo de limpeza da AntiXSS Library. Quando a AntiXSS Library limpa incorretamente o HTML, um script malicioso contido no HTML especialmente criado pode ser executado no servidor Web afetado.
Quais são os sistemas mais vulneráveis a esta vulnerabilidade?
Os servidores Web que usam a AntiXSS Library estão em risco com essa vulnerabilidade.
O que a atualização faz?
A atualização elimina a vulnerabilidade atualizando a Biblioteca AntiXSS para uma versão que não seja afetada pela vulnerabilidade.
Quando este boletim de segurança foi lançado, essa vulnerabilidade havia sido divulgada publicamente?
Não. A Microsoft recebeu informações sobre essa vulnerabilidade por meio da divulgação coordenada de vulnerabilidades.
Quando este boletim de segurança foi lançado, a Microsoft recebeu algum relatório de que essa vulnerabilidade estava sendo explorada?
Não. A Microsoft não recebeu nenhuma informação que indicasse que essa vulnerabilidade havia sido usada publicamente para atacar clientes quando este boletim de segurança foi lançado originalmente.
Outras Informações
Agradecimentos
A Microsoft agradece aos seguintes por trabalharem conosco para ajudar a proteger os clientes:
- Adi Cohen, da IBM Rational Application Security , por fornecer informações sobre a Vulnerabilidade de Desvio da Biblioteca AntiXSS (CVE-2012-0007)
Programa de Proteção Ativa da Microsoft (MAPP)
Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes de cada lançamento mensal de atualização de segurança. Os fornecedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes por meio de seu software ou dispositivos de segurança, como antivírus, sistemas de detecção de intrusão baseados em rede ou sistemas de prevenção de intrusão baseados em host. Para determinar se as proteções ativas estão disponíveis em fornecedores de software de segurança, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Programa de Proteções Ativas da Microsoft (MAPP).
Suporte
- Os clientes nos EUA e no Canadá podem receber suporte técnico do Suporte de Segurança ou do 1-866-PCSAFETY. Não há cobrança para chamadas de suporte associadas a atualizações de segurança. Para obter mais informações sobre as opções de suporte disponíveis, consulte Ajuda e Suporte da Microsoft.
- Os clientes internacionais podem receber suporte de suas subsidiárias locais da Microsoft. Não há cobrança pelo suporte associado a atualizações de segurança. Para obter mais informações sobre como entrar em contato com a Microsoft para problemas de suporte, visite o site de Suporte Internacional.
Aviso de isenção de responsabilidade
As informações fornecidas na Base de Dados de Conhecimento da Microsoft são fornecidas "no estado em que se encontram", sem garantia de qualquer tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, incluindo as garantias de comercialização e adequação a uma finalidade específica. Em nenhuma circunstância a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, incluindo danos diretos, indiretos, incidentais, consequenciais, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüenciais ou incidentais, portanto, a limitação anterior pode não se aplicar.
Revisões
- V1.0 (10 de janeiro de 2012): Boletim publicado.
- V2.0 (11 de janeiro de 2012): Anunciado que o pacote de atualização original, AntiXSS Library versão 4.2, foi substituído pelo AntiXSS Library versão 4.2.1. Todos os usuários da AntiXSS Library precisarão atualizar para a versão 4.2.1 da AntiXSS Library para ajudar a garantir que estejam protegidos contra a vulnerabilidade descrita neste boletim. Consulte as perguntas frequentes sobre a atualização para obter mais informações.
- V2.1 (16 de janeiro de 2012): Adicionado um link para o artigo da Base de Dados de Conhecimento da Microsoft 2607664 em Problemas conhecidos no Resumo executivo. Além disso, a entrada revisada nas perguntas frequentes sobre a atualização para esclarecer por que a atualização para a versão 4.2.1 do AntiXSS Library está disponível apenas no Centro de Download da Microsoft.
Criado em 2014-04-18T13:49:36Z-07:00