IIS 5.0 修复跨站点脚本问题

注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。

点击这里察看该文章的英文版: 275657
本文已归档。它按“原样”提供,并且不再更新。
症状
Microsoft 已标识一个漏洞,可能会使恶意用户可以通过第三方 Web 站点的另一用户的计算机上运行的代码。此类代码可以采取了允许第三方 Web 站点的用户的计算机上执行任何操作。此外,代码可以被持久,这样如果用户再次返回到网站,开始再次运行该代码。

如果用户单击在 HTML 电子邮件或恶意用户的 Web 站点上超文本链接上,可以只利用此漏洞 ; 不能将代码插入到现有会话。
原因
正确,提供 Internet Information Services 5.0 的某些 Web 服务不会使用它们,并因此是易受攻击来跨站点脚本 (CSS) 之前验证所有输入。
解决方案
若要解决此问题,获得最新的 service pack,对于 Windows XP。有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322389如何获取最新的 Windows XP 服务包
若要解决此问题,获得最新的 service pack,对于 Windows 2000。有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910如何获取最新的 Windows 2000 服务软件包
2000 年 11 月 2 Microsoft 发布了更新后的修补程序,若要更正此漏洞的新变体。有关如何获取最新的修补程序,请参阅以下有关的信息。

可从 Microsoft 下载中心下载以下文件:
有关如何下载 Microsoft 支持文件的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591如何从联机服务获得 Microsoft 支持文件
Microsoft 扫描此文件的病毒。Microsoft 使用该文件已过帐的日期上获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器,这有助于防止未经授权的情况下对其进行更改文件上。 此修复程序的英文版应具有以下文件属性或更高版本:
   Date       Time     Version         Size    File name   --------------------------------------------------------   08/26/2000  06:30p                   6,512  Fixerr.js   08/27/2000  11:41p  5.0.2195.2104   57,104  Httpodbc.dll   09/21/2000  05:23p  5.0.2195.2287  122,640  Iisrtl.dll   09/28/2000  05:54p  5.0.2195.2363   46,352  Ism.dll   08/27/2000  11:41p  5.0.2195.2104   41,744  Ssinc.dll				

有关解决此问题在 Internet 信息服务器 (IIS) 4.0 中的其他信息请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
260347对于跨站点脚本问题的 IIS 4: 修复
状态
Microsoft 已经确认这是 Internet Information Services 5.0 中的问题。在 Microsoft Windows 2000 Service Pack 3 (SP3) 和 Microsoft Windows XP Service Pack 1 (SP1),第一次已得到纠正此问题。
更多信息
有关此安全漏洞的详细信息,请参阅以下 Microsoft 网站: CSS 是可以还有可能使恶意用户可以将代码插入到用户的会话,与网站的新发现的安全漏洞。与大多数的安全漏洞不同 CSS 不能应用于任何单个供应商的产品,但相反,它可能会影响 Web 服务器上运行并不遵循防御性的编程做法的任何软件。在早期的 2000 Microsoft 和 CERT 合作向通知在软件行业的问题,并导致了行业范围内的响应。

Microsoft 发布有关 CSS,包括为开发人员如何检查他们的潜在漏洞的代码有关的信息的大量信息。Microsoft 已标识在其中正确检查,不能执行 ; 其中有些发现我们的内部安全小组和其他由客户所标识的 IIS 中的多个位置。
可用修补程序的"IIS 跨站点脚本"漏洞

警告:本文已自动翻译

属性

文章 ID:275657 - 上次审阅时间:10/21/2013 02:21:46 - 修订版本: 4.1

Microsoft Internet Information Services 5.0

  • kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbfix kbgraphxlinkcritical kbwin2000presp2fix kbwinxpsp1fix KB275657 KbMtzh
反馈