MS00-084: Aggiornamento disponibile per la vulnerabilitÓ nel servizio di indicizzazione

Traduzione articoli Traduzione articoli
Identificativo articolo: 278499 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo Ŕ stato archiviato. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Microsoft ha reso disponibile un aggiornamento risolve una potenziale vulnerabilitÓ di protezione che si riferisce il componente di ricerca sul Web (Webhits.dll) dei servizi di Windows 2000 e di indicizzazione di Windows NT 4.0. La vulnerabilitÓ Ŕ il risultato di una funzionalitÓ del servizio di indicizzazione che consente agli utenti di specificare codice HTML alternativo da utilizzare per evidenziare una corrispondenza per il testo della query. La funzionalitÓ consente di passare HTML non elaborato come un parametro in un file con estensione htw. Questo codice HTML non Ŕ stato sottoposto a escape o analizzato in alcun modo. Di conseguenza, gli utenti possono quindi inviare script incorporati nel codice HTML. Questa vulnerabilitÓ Ŕ detta cross-site scripting (CSS). Per ulteriori informazioni su CSS, vedere la sezione "Informazioni" di questo articolo.

Nota : il servizio di indicizzazione fornito e con Windows 2000, ma non Ŕ attivato per impostazione predefinita. Gli utenti che sono in esecuzione il server web in Windows 2000 che hanno attivato il servizio di indicizzazione sono invitati per applicare questa patch. Il servizio di indicizzazione per Windows NT 4.0 viene fornito con NT Option Pack ed non Ŕ installato o attivato per impostazione predefinita.

Risoluzione

Windows 2000

Per risolvere questo problema Ŕ necessario ottenere la versione pi¨ recente del service pack per Windows 2000. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
260910Come ottenere Windows 2000 Service Pack pi¨ recente
The English-language version of this fix should have the following 
file attributes or later:

   Date       Time             Size     File name     Platform
   -----------------------------------------------------------
   10/31/2000 11:08am          42,768   Webhits.dll   i386

				

Server di indicizzazione 2.0

Sono disponibili i file seguenti dall'Area download Microsoft:
Tutte le lingue eccetto giapponese (NEC) e cinese (Hong Kong)
Riduci l'immagineEspandi l'immagine
Download
Download the 278499 package now.
Giapponese (NEC)
Riduci l'immagineEspandi l'immagine
Download
Download the 278499 package now.
Cinese (Hong Kong)
Riduci l'immagineEspandi l'immagine
Download
Download the 278499 package now.
Data di rilascio: 9 aprile 2003

Per ulteriori informazioni su come scaricare file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito riportato:
119591Come ottenere file di supporto Microsoft dai servizi online
Microsoft analizzati questo file per individuare eventuali virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile alla data di pubblicazione del file. Il file Ŕ archiviato in server con protezione avanzata per impedire modifiche non autorizzate al file. La versione in lingua inglese di questa correzione presenta gli attributi di file elencati nella tabella seguente (o successivi). Date e ore per questi file sono indicati nella coordinated universal time (UTC). Quando si visualizzano le informazioni sul file, viene convertito in ora locale. Per calcolare la differenza tra ora UTC e l'ora locale, utilizzare la scheda fuso orario dello strumento Data e ora del Pannello di controllo.
   Date         Time   Version     Size    File name
   ---------------------------------------------------
   25-Feb-2003  06:53  5.0.1782.5  42,256  Webhits.dll

Status

Microsoft ha confermato che questo problema riguarda i prodotti Microsoft elencati all'inizio di questo articolo. Questo problema Ŕ stato innanzitutto corretto in Windows 2000 Service Pack 2.

Informazioni

Per ulteriori informazioni su questa vulnerabilitÓ e la patch, visitare i seguenti siti Web Microsoft:
http://www.microsoft.com/technet/security/bulletin/fq00-084.mspx
http://www.microsoft.com/technet/security/bulletin/MS00-084.mspx
In 20 febbraio 2000, Microsoft e il Computer Emergency Response Team (CERT) Coordination Center pubblicato le informazioni sulla protezione di identificati appena vulnerabilitÓ interessati tutti i prodotti di server Web. Questa vulnerabilitÓ, nota come cross-site scripting (CSS), si verifica quando applicazioni Web non convalida correttamente gli input prima di utilizzarli in pagine Web dinamiche. Se un operatore malintenzionato di un sito Web era in grado di indurre un utente a suo sito e ha identificato un sito Web terze parti che Ŕ stato esposto a CSS, l'operatore malintenzionato potrebbe comunque utilizzare potenzialmente la vulnerabilitÓ per "introdurre" script in una pagina Web creata da un altro sito Web, che quindi consegna all'utente. Di conseguenza, Ŕ possibile eseguire nel computer dell'utente utilizzando il trust da altro sito script dell'utente malintenzionato.

La vulnerabilitÓ pu˛ interessa qualsiasi software che viene eseguito su un server Web, accetta l'input dell'utente e "ciecamente" viene utilizzato per generare pagine Web. Microsoft ha identificato un componente dei servizi di Windows 2000 e di indicizzazione di Windows NT 4.0 Ŕ vulnerabile a questo scenario che sta rilasciando un bollettino sulla sicurezza e una patch per risolvere il problema.

ProprietÓ

Identificativo articolo: 278499 - Ultima modifica: lunedý 24 febbraio 2014 - Revisione: 4.4
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Index Server 2.0
Chiavi:á
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbenv kbfix kbwin2000presp2fix KB278499 KbMtit
Traduzione automatica articoli
Il presente articolo Ŕ stato tradotto tramite il software di traduzione automatica di Microsoft e non da una persona. Microsoft offre sia articoli tradotti da persone fisiche sia articoli tradotti automaticamente da un software, in modo da rendere disponibili tutti gli articoli presenti nella nostra Knowledge Base nella lingua madre dell?utente. Tuttavia, un articolo tradotto in modo automatico non Ŕ sempre perfetto. Potrebbe contenere errori di sintassi, di grammatica o di utilizzo dei vocaboli, pi¨ o meno allo stesso modo di come una persona straniera potrebbe commettere degli errori parlando una lingua che non Ŕ la sua. Microsoft non Ŕ responsabile di alcuna imprecisione, errore o danno cagionato da qualsiasi traduzione non corretta dei contenuti o dell?utilizzo degli stessi fatto dai propri clienti. Microsoft, inoltre, aggiorna frequentemente il software di traduzione automatica.
Clicca qui per visualizzare la versione originale in inglese dell?articolo: 278499
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com