IIS 5.0 revisiones para problemas de secuencias de comandos entre sitios

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 275657
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Síntomas
Microsoft ha identificado una vulnerabilidad que puede permitir que un usuario malintencionado de código se ejecutará en el equipo de otro usuario a través de un sitio Web de terceros. Dicho código puede realizar cualquier acción en equipo del usuario que el sitio Web de terceros se permitía tomar. Además, el código puede hacerse persistente, para que si el usuario vuelve al sitio Web nuevo, el código empieza a ejecutar de nuevo.

Esta vulnerabilidad sólo se puede aprovechar si el usuario hace clic en un vínculo de hipertexto, correo electrónico en formato HTML o en el sitio Web de un usuario malintencionado; el código no puede insertarse en una sesión existente.
Causa
Algunos servicios Web proporcionados por IIS 5.0 no validan correctamente todas las entradas antes de que utilizan y, por lo tanto, son vulnerables a Cross-Site Scripting (CSS).
Solución
Para resolver este problema, obtenga el Service Pack más reciente para Windows XP. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322389Cómo obtener el Windows XP Service Pack más reciente
Para resolver este problema, obtenga el Service Pack más reciente de Windows 2000. Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260910Cómo obtener el Service Pack más reciente para Windows 2000
2 De noviembre de 2000, Microsoft publicó una revisión actualizada para corregir una nueva variante de esta vulnerabilidad. Consulte lo siguiente para obtener información acerca de cómo obtener la revisión más reciente.

Los archivos siguientes están disponibles para descargarlos del Centro de descarga de Microsoft:
Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
Microsoft exploró este archivo en busca de virus. con el software de detección de virus más reciente disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que ayudan a impedir la realización de cambios no autorizados. La versión en inglés de esta revisión debe tener los atributos de archivo siguientes o posteriores:
   Date       Time     Version         Size    File name   --------------------------------------------------------   08/26/2000  06:30p                   6,512  Fixerr.js   08/27/2000  11:41p  5.0.2195.2104   57,104  Httpodbc.dll   09/21/2000  05:23p  5.0.2195.2287  122,640  Iisrtl.dll   09/28/2000  05:54p  5.0.2195.2363   46,352  Ism.dll   08/27/2000  11:41p  5.0.2195.2104   41,744  Ssinc.dll				

Para obtener información adicional acerca de cómo resolver este problema en Internet Information Server (IIS) 4.0, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
260347IIS 4: Corregir problemas de secuencias de comandos entre sitios
Estado
Microsoft ha confirmado que este es un problema de servicios de Internet Information Server 5.0. Este problema se corrigió primero en el Service Pack 3 (SP3) de Microsoft Windows 2000 y en el Service Pack 1 (SP1) de Microsoft Windows XP.
Más información
Para obtener más información sobre esta vulnerabilidad de seguridad, vea el siguiente sitio web de Microsoft: CSS es una vulnerabilidad de seguridad descubiertas recientemente que potencialmente puede permitir que un usuario malintencionado inyectar código en una sesión de usuario con un sitio Web. A diferencia la mayoría de las vulnerabilidades de seguridad, CSS no se aplica a productos cualquier proveedor único pero en su lugar, puede afectar a cualquier software que se ejecuta en un servidor Web y no sigue prácticas de programación defensivas. En tiempo de compilación 2000, Microsoft y CERT trabajado juntos para informar a la industria de software del problema y provocar una respuesta de industria a él.

Microsoft publica información completa acerca de CSS, incluida la información para desarrolladores acerca de cómo comprobar su código para posibles vulnerabilidades. Microsoft ha identificado varios lugares en IIS donde comprobación correcta no se realizó; algunos de ellos se han encontrado por nuestros equipos de seguridad interna y otros se han identificado por los clientes.
Revisión disponible para vulnerabilidades de "Secuencias de comandos entre sitios IIS"

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 275657 - Última revisión: 01/24/2014 15:56:40 - Revisión: 4.1

Microsoft Internet Information Services 5.0

  • kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbfix kbgraphxlinkcritical kbwin2000presp2fix kbwinxpsp1fix KB275657 KbMtes
Comentarios