Die Installation dieses Updates beseitigt die Sicherheitslücke "IIS - Siteübergreifende Skripterstellung", die in Internet Information Services (IIS) 5.0 sowie in Internet Information Server (IIS) 4.0 aufgetreten ist. Durch diese Sicherheitslücke kann ein böswilliger Benutzer, getarnt als Website eines Drittanbieters, Befehlscode auf dem Computer eines anderen Benutzers ausführen. Wenn ein böswilliger Benutzer diese Sicherheitslücke erfolgreich ausnutzt, kann er eine Website auf Ihrem Server dazu veranlassen, Code auszuführen, Daten weiterzuleiten und Cookies auf den Computern der Besucher zu lesen und zu schreiben. Mit diesem Update können Sie verhindern, dass ein böswilliger Benutzer Code auf Ihren Webserver lädt, der an die Browser der Besucher als eine Webseite Ihres Servers ausgegeben wird.
Anmerkung Dieses Update beseitigt nur die Sicherheitslücke in IIS. Microsoft empfiehlt allen Kunden, die Websites bereitstellen, sich an die Hersteller/Vertreiber aller Softwareprogramme zu wenden, die auf ihren Servern ausgeführt werden, und sicherzustellen, dass die jeweiligen Hersteller ihre Softwareprogramme auf Sicherheitslücken bei der Siteübergreifenden Skripterstellung (Cross-Site Scripting, CSS) überprüft haben. Statische Webseiten sind durch diese Sicherheitslücke nicht gefährdet. Auf Webservern, die nur statische Inhalte bereitstellen, muss das Update daher nicht installiert werden.
Diese Sicherheitslücke ermöglicht es böswilligen Betreibern jedoch nicht, in Ihrer Website Inhalte hinzuzufügen, zu verändern oder zu löschen.
Gefährdet sind sämtliche Softwareprogramme auf einem Webserver sein, die:
Weitere Informationen zu dieser Sicherheitslücke erhalten Sie im Microsoft Security Bulletin MS00-060. (Diese Site ist in Englisch.)