MS02-084: Actualização disponível para a vulnerabilidade no serviço de indexação

Traduções deste artigo Traduções deste artigo
ID do artigo: 278499 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

A Microsoft disponibilizou uma atualização disponível que corrige uma vulnerabilidade potencial de segurança que se relaciona com o componente Webhits (webhits.dll) dos serviços do Windows 2000 e a indexação do Windows NT 4.0. A vulnerabilidade é o resultado de um recurso no serviço de indexação que permite aos usuários especificar HTML alternativo a ser usada para realçar uma correspondência para o texto da consulta. O recurso permite que os usuários passar bruto HTML como um parâmetro para um arquivo .htw. Este HTML não é seguidas pelo caractere de escape ou verificado de forma alguma. Devido a isso, os usuários podem, em seguida, enviar scripts incorporados em HTML. Essa vulnerabilidade é conhecida como cross Site Scripting (CSS). Para obter mais informações sobre CSS, consulte a seção "Mais informações" deste artigo.

Observação : O serviço de indexação é fornecido e instalar com o Windows 2000, mas não é ativado por padrão. Usuários que estiverem executando servidores da web no Windows 2000 que habilitaram o serviço de indexação estão instruídos a aplicar esse patch. O serviço de indexação para Windows NT 4.0 é fornecido com o NT Option Pack e não está instalado ou ativado por padrão.

Resolução

Windows 2000

Para resolver esse problema, obtenha o service pack mais recente para o Windows 2000. Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
260910Como obter o Service Pack mais recente do Windows 2000
The English-language version of this fix should have the following 
file attributes or later:

   Date       Time             Size     File name     Platform
   -----------------------------------------------------------
   10/31/2000 11:08am          42,768   Webhits.dll   i386

				

Indexação Server 2.0

Os seguintes arquivos estão disponíveis para download no Centro de download da Microsoft:
Todos os idiomas exceto Japonês NEC e Chinês - Hong Kong
Recolher esta imagemExpandir esta imagem
Download
Download the 278499 package now.
Japonês NEC
Recolher esta imagemExpandir esta imagem
Download
Download the 278499 package now.
Chinês - Hong Kong
Recolher esta imagemExpandir esta imagem
Download
Download the 278499 package now.
Data de lançamento: 9 de abril de 2003

Para obter informações adicionais sobre como baixar arquivos de suporte da Microsoft, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
119591Como obter arquivos de suporte da Microsoft a partir de serviços online
Microsoft examinou esse arquivo em busca de vírus. Microsoft utilizou o mais recente software de detecção de vírus que estava disponível na data em que o arquivo foi publicado. O arquivo é armazenado em servidores com segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo. A versão em inglês dessa correção apresenta os atributos de arquivo (ou posteriores) listados na tabela a seguir. As datas e horas desses arquivos são listadas em tempo de universal coordenado (UTC). Quando você exibe as informações do arquivo, ele é convertido para a hora local. Para encontrar a diferença entre o UTC e a hora local, use a guia fuso horário na ferramenta Data e hora no painel de controle.
   Date         Time   Version     Size    File name
   ---------------------------------------------------
   25-Feb-2003  06:53  5.0.1782.5  42,256  Webhits.dll

Situação

A Microsoft confirmou que este é um problema nos produtos da Microsoft listados no começo deste artigo. Esse problema foi corrigido primeiro no Windows 2000 Service Pack 2.

Mais Informações

Para obter mais informações sobre essa vulnerabilidade e o patch, consulte os seguintes sites:
http://www.microsoft.com/technet/security/bulletin/fq00-084.mspx
http://www.microsoft.com/technet/security/bulletin/MS00-084.mspx
Em 20 de fevereiro de 2000, Microsoft e o Centro de coordenação CERT (Computer Emergency Response Team) publicado informações sobre uma segurança identificado recém-vulnerabilidade afetados todos os produtos de servidor Web. Essa vulnerabilidade, conhecida como cross Site Scripting (CSS), ocorre quando programas da Web não validam corretamente as entradas antes de usá-los em páginas da Web dinâmicas. Se um operador de site Web malicioso foram capaz de persuadir um usuário para seu site e teve identificados um site de terceiros que foi vulnerável a CSS, o operador de site Web malicioso pode potencialmente usar a vulnerabilidade "inserir" script em uma página da Web que foi criada pelo outro site da Web, que então ser entregue ao usuário. O efeito desse procedimento seria fazer com que o script do usuário mal-intencionado seja executado no computador do usuário usando a relação de confiança do outro site.

A vulnerabilidade pode afetar qualquer software que é executado em um servidor Web, aceita a entrada do usuário e "cegamente" usa para gerar páginas da Web. A Microsoft identificou um componente dentro dos serviços do Windows 2000 e a indexação do Windows NT 4.0 que é vulnerável a esse cenário e está lançando um boletim e um patch para corrigir o problema.

Propriedades

ID do artigo: 278499 - Última revisão: segunda-feira, 24 de fevereiro de 2014 - Revisão: 4.4
A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Index Server 2.0
Palavras-chave: 
kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbsecvulnerability kbsecurity kbsecbulletin kbbug kbenv kbfix kbwin2000presp2fix KB278499 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 278499

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com