Cette mise à jour élimine la vulnérabilité de la sécurité « IIS Cross-Site Scripting » dans Internet Information Services (IIS) 5.0 et Internet Information Server (IIS) 4.0. Cette vulnérabilité permet à un utilisateur malveillant d'usurper l'identité d'un site Web tiers afin d'exécuter du code sur l'ordinateur d'un autre utilisateur. S'il parvient à exploiter cette vulnérabilité, l'utilisateur peut se servir d'un site Web hébergé par votre serveur pour exécuter du code, envoyer des informations, et lire ou placer des cookies sur l'ordinateur de tout visiteur. Téléchargez cette mise à jour maintenant pour empêcher toute personne malintentionnée d'introduire du code sur votre serveur Web et de le renvoyer sous forme de page Web (hébergée par votre serveur) au navigateur de vos visiteurs.
Remarque : Cette mise à jour élimine uniquement la vulnérabilité détectée dans IIS. Microsoft recommande aux utilisateurs hébergeant des sites Web de contacter les fournisseurs des logiciels fonctionnant sur leurs serveurs et de vérifier que l'éditeur des programmes a pris les mesures nécessaires pour remédier aux vulnérabilités CSS (Cross-Site Scripting). Les pages Web statiques ne sont pas concernées par ce problème. Par conséquent, les utilisateurs dont le serveur Web fournit uniquement du contenu statique n'ont pas besoin d'installer cette mise à jour.
Cette vulnérabilité ne permet pas à un opérateur malveillant d'ajouter, de modifier ni de supprimer des fichiers sur votre site Web.
Tout logiciel s'exécutant sur un serveur Web peut présenter une vulnérabilité CSS si :
Pour plus d'informations sur cette vulnérabilité, consultez le Bulletin de sécurité Microsoft MS00-060 (ce site est en anglais).