IIS 5.0 的跨網站指令碼問題的修正程式

重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。

275657
本文已封存。本文係以「現狀」提供且不會再更新。
徵狀
Microsoft 已經識別弱點,可能會讓惡意的使用者,可以透過協力廠商網站的另一位使用者的電腦上執行的程式碼。這類程式碼可以允許協力廠商的網站,在採取的使用者的電腦上採取任何行動。在另外程式碼可以由永續性,使程式碼如果使用者再次回到 Web 站台,開始重新執行。

如果使用者按一下的超文字連結在 HTML 電子郵件或惡意的使用者在網站上,只有才能利用這項弱點 ; 程式碼無法插入現有的工作階段。
發生的原因
某些 Web 服務所提供的網際網路資訊服務 5.0 不要正確驗證所有輸入使用它們,和都會因此受到此弱點的影響至跨網站指令碼 (CSS) 之前。
解決方案
如果要解決這個問題,取得最新的 Service Pack 的 Windows XP。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
322389如何取得最新的 Windows XP Service Pack
如果要解決這個問題,取得最新的 Service Pack 為 Windows 2000。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
260910如何取得最新的 Windows 2000 Service Pack
在 2000 年 11 月 2,Microsoft 發行更新的更新程式,若要更正這項弱點的新變化。有關如何取得最新的補充程式,請參閱下列的資訊。

從 「 Microsoft 下載中心 」 下載下列檔案有:
如需有關如何下載 Microsoft 支援檔案的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
119591如何從線上服務取得 Microsoft 支援檔案
Microsoft 已掃描這個檔案有無病毒。Microsoft 使用已張貼檔案的日期中的 [可用的最新病毒偵測軟體。檔案儲存在安全性強化的伺服器上,以避免任何未經授權的更改至檔案。 此修正程式的英文版應該具有下列檔案屬性或更新版本:
   Date       Time     Version         Size    File name   --------------------------------------------------------   08/26/2000  06:30p                   6,512  Fixerr.js   08/27/2000  11:41p  5.0.2195.2104   57,104  Httpodbc.dll   09/21/2000  05:23p  5.0.2195.2287  122,640  Iisrtl.dll   09/28/2000  05:54p  5.0.2195.2363   46,352  Ism.dll   08/27/2000  11:41p  5.0.2195.2104   41,744  Ssinc.dll				

如需有關解決這個問題在網際網路資訊伺服器 (IIS) 4.0 的詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
260347跨網站指令碼問題的 IIS 4: 修正程式
狀況說明
Microsoft 已確認這是網際網路資訊服務 5.0 中的問題。這個問題,首先已經在 Microsoft Windows 2000 Service Pack 3 (SP3) 和 Microsoft Windows XP Service Pack 1 (SP1) 中獲得修正。
其他相關資訊
如需有關這個安全性弱點的詳細資訊,請參閱下列 Microsoft 網站: CSS 是最近發現的安全性弱點,可能可以讓惡意使用者程式碼注入與網站的使用者工作階段。與大多數的安全性弱點不同 CSS 並不會套用到任何單一廠商產品],但改,它會影響任何在 Web 伺服器上執行,而且不遵循防禦性程式設計實務的軟體]。在早期 2000 Microsoft 和 CERT 工作一起通知軟體產業的問題,並會導致它的整個產業的回應。

Microsoft 發行包括有關如何檢查它們有潛在的弱點的程式碼開發人員資訊的 CSS 的廣泛資訊。Microsoft 已經識別位置未執行適當檢查 ; 其中有些有找到由我們內部安全性] 團隊且其他人找出客戶的 IIS 中的幾個地方。
可用於 [IIS 跨站台執行指令碼 」 弱點補充程式

警告:本文已自動翻譯

內容

文章識別碼:275657 - 最後檢閱時間:10/21/2013 02:21:47 - 修訂: 4.1

  • Microsoft Internet Information Services 5.0
  • kbnosurvey kbarchive kbmt kbhotfixserver kbqfe kbbug kbfix kbgraphxlinkcritical kbwin2000presp2fix kbwinxpsp1fix KB275657 KbMtzh
意見反應