Security Bulletin

Microsoft Security Bulletin MS12-007 - Hoch

Sicherheitsanfälligkeit in AntiXSS-Bibliothek kann Offenlegung von Information ermöglichen (2607664)

Veröffentlicht: Dienstag, 10. Januar 2012 | Aktualisiert: Montag, 16. Januar 2012

Version: 2.1

Allgemeine Informationen

Kurzzusammenfassung

Dieses Sicherheitsupdate behebt eine vertraulich gemeldete Sicherheitsanfälligkeit in der Microsoft AntiXSS-Bibliothek (Anti-Cross Site Scripting). Die Sicherheitsanfälligkeit kann die Offenlegung von Information ermöglichen, wenn ein Angreifer mit der Bereinigungsfunktion der AntiXSS-Bibliothek ein schädliches Skript an eine Website übergibt. Die Folgen der Offenlegung jener Informationen sind abhängig von der Natur der Informationen an sich. Beachten Sie, dass diese Sicherheitsanfälligkeit einem Angreifer keine Codeausführung oder direkte Erhöhung von Berechtigungen ermöglicht, sondern dazu führt, dass Informationen gesammelt werden, mit denen das betroffene System noch weiter gefährdet werden könnte. Nur Sites, die das Bereinigungsmodul der AntiXSS-Bibliothek verwenden, sind von dieser Sicherheitsanfälligkeit betroffen.

Dieses Sicherheitsupdate wird für die AntiXSS-Bibliothek V3.x und die AntiXSS-Bibliothek V4.0 als Hoch eingestuft. Weitere Informationen finden Sie in dem Unterabschnitt Betroffene und nicht betroffene Software in diesem Abschnitt.

Das Update behebt die Sicherheitsanfälligkeit, indem die AntiXSS-Bibliothek auf eine Version aktualisiert wird, die nicht von der Sicherheitsanfälligkeit betroffen ist. Weitere Informationen zur Sicherheitsanfälligkeit finden Sie im Unterabschnitt „Häufig gestellte Fragen (FAQs)“ für den bestimmten Sicherheitsanfälligkeitseintrag unter dem nächsten Abschnitt Informationen zu Sicherheitsanfälligkeiten.

Empfehlung. Microsoft empfiehlt Benutzern, dieses Sicherheitsupdate so schnell wie möglich zu installieren.

Bekannte Probleme. Im Microsoft Knowledge Base-Artikel 2607664 werden die derzeit bekannten Probleme dokumentiert, die durch die Installation dieses Sicherheitsupdates auftreten können. Im Artikel werden auch Lösungen für diese Probleme empfohlen.

Betroffene und nicht betroffene Software

Folgende Software wurde getestet, um zu ermitteln, welche Versionen oder Editionen betroffen sind.

Betroffene Software

Software Maximale Sicherheitsauswirkung Bewertung des Gesamtschweregrads Bulletins, die durch dieses Update ersetzt werden
Microsoft AntiXSS-Bibliothek V3.x und Microsoft AntiXSS-Bibliothek V4.0[1][2] Offenlegung von Informationen Hoch Keine

[1]Mit diesem Download wird die AntiXSS-Bibliothek von Microsoft auf eine neuere Version aktualisiert, die nicht von der Sicherheitsanfälligkeit betroffen ist.

[2]Dieses Update ist nur im Microsoft Download Center verfügbar. Weitere Informationen finden Sie in dem nächsten Abschnitt, Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate.

Häufig gestellte Fragen (FAQs) im Zusammenhang mit diesem Sicherheitsupdate

Warum wurde dieses Bulletin am 11. Januar 2012 erneut veröffentlicht ?
Microsoft hat dieses Bulletin erneut veröffentlicht, um anzukündigen, dass das ursprüngliche Upgradepaket AntiXSS-Bibliothek Version 4.2 durch AntiXSS-Bibliothek Version 4.2.1 ersetzt wurde. Mit der neuen Version wird ein Benennungsproblem behoben, durch das die Installation des ursprünglichen Upgradepakets unter bestimmten Umständen fehlschlug. Alle Benutzer der AntiXSS-Bibliothek müssen auf AntiXSS-Bibliothek Version 4.2.1 aktualisieren, um sicherzustellen, dass sie vor der in diesem Bulletin beschriebenen Sicherheitsanfälligkeit geschützt sind.

Ich bin ein Entwickler, der die AntiXSS-Bibliothek verwendet. Muss ich das Update nur auf meinem System haben?
Nein. Entwickler, die die AntiXSS-Bibliothek verwenden, sollten das in diesem Bulletin beschriebene Upgrade installieren und danach auch die aktualisierte Bibliothek auf all ihren aktiven Websites bereitstellen, auf denen die AntiXSS-Bibliothek verwendet wird.

Enthält dieses Upgrade sicherheitsbezogene Funktionsänderungen?
Ja. Zusätzlich zu den Änderungen, die im Abschnitt Informationen zu Sicherheitsanfälligkeiten in diesem Bulletin aufgeführt werden, wird durch das Aktualisieren auf eine neuere Version der AntiXSS-Bibliothek (AntiXSS-Bibliothek Version 4.2.1) auch die Funktionalität bei der Verarbeitung von Cascading Style Sheets (CSS) verändert, die von der AntiXSS-Bibliothek verarbeitet werden. HTML-Eingaben in das Bereinigungsprogramm, das Stile wie Tags oder Attribute enthält, werden entfernt. Bei Stiltags bleiben die Inhalte des Tags zurück. Dieses Verhalten ist mit dem Verhalten für andere ungültige Tags konsistent.

Wie aktualisiere ich meine Version der AntiXSS-Bibliothek?
Benutzer können mithilfe des Downloadlinks in der Tabelle „Betroffene Software“ in dem Abschnitt Betroffene und nicht betroffene Software weiter oben eine neuere Version der AntiXSS-Bibliothek (Version 4.2.1) von Microsoft erhalten, die nicht von der Sicherheitsanfälligkeit betroffen ist.

Warum ist das Upgrade nur im Microsoft Download Center verfügbar?
Microsoft veröffentlicht das Upgrade für die AntiXSS-Bibliothek nur im Microsoft Download Center. Da Entwickler die aktualisierte Bibliothek nur auf aktiven Websites bereitstellen, auf denen die AntiXSS-Bibliothek verwendet wird, sind andere Verteilungsmethoden wie die automatische Aktualisierung nicht für diese Art von Upgradeszenario geeignet.

Informationen zu Sicherheitsanfälligkeiten

Bewertungen des Schweregrads und Kennungen der Sicherheitsanfälligkeit

Bei der folgenden Bewertung des Schweregrads wird die potenzielle maximale Auswirkung der Sicherheitsanfälligkeit angenommen. Informationen zur Wahrscheinlichkeit der Ausnutzung der Sicherheitsanfälligkeit in Bezug auf die Bewertung des Schweregrads und die Sicherheitsauswirkung innerhalb von 30 Tagen nach Veröffentlichung dieses Security Bulletins finden Sie im Ausnutzbarkeitsindex im Bulletin Summary für Januar. Weitere Informationen finden Sie in Microsoft-Ausnutzbarkeitsindex.

Bewertung des Schweregrads und maximale Sicherheitsauswirkung nach betroffener Software
Betroffene Software Sicherheitsanfälligkeit durch Umgehung der AntiXSS-Bibliothek – CVE-2012-0007 Bewertung des Gesamtschweregrads
Microsoft AntiXSS-Bibliothek V3.x und Microsoft AntiXSS-Bibliothek V4.0 Hoch
Offenlegung von Informationen
Hoch
Sicherheitsanfälligkeit durch Umgehung der AntiXSS-Bibliothek – CVE-2012-0007 ----------------------------------------------------------------------------- Es liegt eine Sicherheitsanfälligkeit durch Offenlegung von Informationen vor, die dadurch verursacht wird, dass die AntiXSS-Bibliothek von Microsoft speziell gestaltetes HTML falsch bereinigt. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann einen Angriff mit siteübergreifender Skripterstellung auf eine Website durchführen, auf der von Benutzern bereitgestelltes HTML mit der AntiXSS-bereinigt wird. Dadurch kann der Angreifer ein schädliches Skript durch eine Bereinigungsfunktion übergeben und Informationen offenlegen, die nicht dafür vorgesehen sind. Die Folgen der Offenlegung jener Informationen sind abhängig von der Natur der Informationen an sich. Beachten Sie, dass diese Sicherheitsanfälligkeit einem Angreifer keine Codeausführung oder direkte Erhöhung von Berechtigungen ermöglicht, sondern dazu führt, dass Informationen gesammelt werden, mit denen das betroffene System noch weiter gefährdet werden könnte. Informationen zum Anzeigen dieser Sicherheitsanfälligkeit als Standardeintrag in der Liste allgemeiner Sicherheitsanfälligkeiten finden Sie unter [CVE-2012-0007](https://www.cve.mitre.org/cgi-bin/cvename.cgi?name=cve-2012-0007). #### Schadensbegrenzende Faktoren für die Sicherheitsanfälligkeit durch Umgehung der AntiXSS-Bibliothek – CVE-2012-0007 Schadensbegrenzung bezieht sich auf eine Einstellung, häufige Konfiguration oder allgemeine empfohlene Vorgehensweise, die in einem Standardzustand existieren und den Schweregrad der Ausnutzung einer Sicherheitsanfälligkeit verringern können. Die folgenden schadensbegrenzenden Faktoren könnten hilfreich für Sie sein: - Nur Sites, die das Bereinigungsmodul der AntiXSS-Bibliothek verwenden, sind von dieser Sicherheitsanfälligkeit betroffen. #### Problemumgehungen für die Sicherheitsanfälligkeit durch Umgehung der AntiXSS-Bibliothek – CVE-2012-0007 Für diese Sicherheitsanfälligkeit gibt es bislang keine Problemumgehungen. #### Häufig gestellte Fragen (FAQs) zur Sicherheitsanfälligkeit durch Umgehung der AntiXSS-Bibliothek – CVE-2012-0007 **Worin genau besteht diese Sicherheitsanfälligkeit?** Dies ist eine Sicherheitsanfälligkeit, die sich auf die Offenlegung von Informationen bezieht. Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann ein schädliches Skript durch eine Bereinigungsfunktion übergeben und Informationen offenlegen, die nicht dafür vorgesehen sind. Beachten Sie, dass diese Sicherheitsanfälligkeit einem Angreifer keine Codeausführung oder direkte Erhöhung von Berechtigungen ermöglicht, sondern zum Sammeln von Informationen genutzt wird, mit denen das betroffene System noch weiter gefährdet werden könnte. **Was ist die Ursache dieser Sicherheitsanfälligkeit?** Die Sicherheitsanfälligkeit wird dadurch verursacht, dass die AntiXSS-Bibliothek von Microsoft bestimmte Zeichen falsch evaluiert, nachdem ein dem CSS entgangenes Zeichen festgestellt wurde. **Was ist die** **AntiXSS-Bibliothek (Anti-Cross Site Scripting)?** Die AntiXSS-Bibliothek von Microsoft ist eine Codierungsbibliothek, die Entwickler dabei unterstützen soll, ihre webbasierten ASP.NET-Anwendungen vor XSS-Angriffen (siteübergreifende Skripterstellung) zu schützen. Sie unterscheidet sich von den meisten Codierungsbibliotheken, da bei ihr eine Positivliste verwendet wird (manchmal als Einbeziehungsprinzip bezeichnet), um Schutz gegen XSS-Angriffe bereitzustellen. Diese Herangehensweise funktioniert so, dass zunächst ein gültiger oder zulässiger Satz von Zeichen definiert und dann alles außerhalb dieses Satzes codiert wird (als ungültiges Zeichen oder potenzieller Angriff). Die Positivliste bietet mehrere Vorteile gegenüber anderen Codierungsschemata. **Was kann ein Angreifer über diese Sicherheitsanfälligkeit erreichen?** Ein Angreifer, der diese Sicherheitsanfälligkeit erfolgreich ausnutzt, kann einen Angriff mit siteübergreifender Skripterstellung auf eine Website durchführen, auf der von Benutzern bereitgestelltes HTML mit der AntiXSS-bereinigt wird. Dadurch kann der Angreifer ein schädliches Skript durch eine Bereinigungsfunktion übergeben und Informationen offenlegen, die nicht dafür vorgesehen sind. Die Folgen der Offenlegung jener Informationen sind abhängig von der Natur der Informationen an sich. Beachten Sie, dass diese Sicherheitsanfälligkeit einem Angreifer keine Codeausführung oder direkte Erhöhung von Berechtigungen ermöglicht, sondern zum Sammeln von Informationen genutzt wird, mit denen das betroffene System noch weiter gefährdet werden könnte. **Wie gehen Angreifer vor, um diese** **Sicherheitsanfälligkeit** **auszunutzen?** Um diese Sicherheitsanfälligkeit auszunutzen, kann ein Angreifer einer Zielwebsite, auf der das Bereinigungsmodul der AntiXSS-Bibliothek verwendet wird, speziell gestalteten HTML-Code senden. Wenn die AntiXSS-Bibliothek HTML falsch bereinigt, kann ein schädliches Skript, das in dem speziell gestalteten HTML enthalten ist, auf dem betroffenen Webserver ausgeführt werden. **Für welche Systeme stellt diese Sicherheitsanfälligkeit hauptsächlich ein Risiko dar?** Webserver, auf denen die AntiXSS-Bibliothek verwendet, sind durch diese Sicherheitsanfälligkeit gefährdet. **Was bewirkt das Update?** Das Update behebt die Sicherheitsanfälligkeit, indem die AntiXSS-Bibliothek auf eine Version aktualisiert wird, die nicht von der Sicherheitsanfälligkeit betroffen ist. **War diese Sicherheitsanfälligkeit zum Zeitpunkt der Veröffentlichung dieses Security Bulletins bereits öffentlich bekannt?** Nein. Microsoft hat Informationen zu dieser Sicherheitsanfälligkeit durch eine koordinierte Offenlegung der Sicherheitsanfälligkeit erhalten. **Lagen Microsoft zum Zeitpunkt der Veröffentlichung dieses Security Bulletins Informationen vor, dass diese Sicherheitsanfälligkeit bereits ausgenutzt wurde?** Nein. Microsoft lagen zum Zeitpunkt der Erstveröffentlichung dieses Security Bulletins keine Informationen vor, dass diese Sicherheitsanfälligkeit öffentlich für Angriffe auf Benutzer ausgenutzt wurde. ### Weitere Informationen: #### Danksagungen Microsoft [dankt](https://www.microsoft.com/germany/technet/sicherheit/bulletins/policy.mspx) den folgenden Personen, dass sie zum Schutz unserer Kunden mit uns zusammengearbeitet haben: - Adi Cohen von [IBM Rational Application Security](https://blog.watchfire.com/) für den Hinweis auf die Sicherheitsanfälligkeit durch Umgehung der AntiXSS-Bibliothek (CVE-2012-0007) #### Microsoft Active Protections Program (MAPP) Um den Sicherheitsschutz für Benutzer zu verbessern, stellt Microsoft den wichtigsten Sicherheitssoftwareanbietern vor der monatlichen Veröffentlichung der Sicherheitsupdates Informationen zu Sicherheitsanfälligkeiten bereit. Anbieter von Sicherheitssoftware können diese Informationen zu Sicherheitsanfälligkeiten dann verwenden, um Benutzern aktualisierten Schutz über ihre Sicherheitssoftware oder ihre Geräte bereitzustellen, z. B. Antivirus, netzwerkbasierte Angriffserkennungssysteme oder hostbasierte Angriffsverhinderungssysteme. Wenn Sie erfahren möchten, ob von den Sicherheitssoftwareanbietern aktiver Schutz verfügbar ist, besuchen Sie die von den Programmpartnern bereitgestellte Active Protections-Websites, die unter [MAPP-Partner (Microsoft Active Protections Program)](https://go.microsoft.com/fwlink/?linkid=215201) aufgeführt sind. #### Support - Technischer Support ist über den [Security Support](https://go.microsoft.com/fwlink/?linkid=21131) erhältlich. Supportanrufe zu Sicherheitsupdates sind kostenlos. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der [Microsoft-Website „Hilfe und Support“](https://support.microsoft.com/). - Kunden außerhalb der USA erhalten Support bei ihren regionalen Microsoft-Niederlassungen. Supportanfragen zu Sicherheitsupdates sind kostenlos. Weitere Informationen dazu, wie Sie Microsoft in Bezug auf Supportfragen kontaktieren können, finden Sie auf der [International Support Website](https://go.microsoft.com/fwlink/?linkid=21155). #### Haftungsausschluss Die Informationen der Microsoft Knowledge Base werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für Sie. #### Revisionen - V1.0 (10. Januar 2012): Bulletin veröffentlicht. - V2.0 (11. Januar 2012): Ankündigung, dass das ursprüngliche Upgradepaket AntiXSS-Bibliothek Version 4.2 durch AntiXSS-Bibliothek Version 4.2.1 ersetzt wurde. Alle Benutzer der AntiXSS-Bibliothek müssen auf AntiXSS-Bibliothek Version 4.2.1 aktualisieren, um sicherzustellen, dass sie vor der in diesem Bulletin beschriebenen Sicherheitsanfälligkeit geschützt sind. Weitere Informationen finden Sie in den häufig gestellten Fragen (FAQs) zu diesem Update. - V2.1 (16. Januar 2012): Dem Abschnitt „Bekannte Probleme“ in der Kurzzusammenfassung wurde eine Verknüpfung zum Microsoft Knowledge Base-Artikel 2607664 hinzugefügt. Außerdem wurde ein Eintrag in den häufig gestellten Fragen (FAQs) zu diesem Update überarbeitet, um zu erklären, warum das Upgrade auf AntiXSS-Bibliothek Version 4.2.1 nur im Microsoft Download Center verfügbar ist. *Built at 2014-04-18T01:50:00Z-07:00*