该更新程序解决了 Windows 2000 目录服务中的“Indexing Services 交叉站点脚本”安全性漏洞,Microsoft 安全公告 MS00-084 讨论了该问题。立即下载以防止用心不良用户在您的 Web 服务器中导入未经验证的代码。
目录服务是集成在 IIS 5.0 和 Windows 2000 中的一种搜索引擎,它可以使浏览器执行 Web 站点的完整文字搜索。此漏洞的存在是因为目录服务并不能合理验证所有搜索输入就处理这些输入,因此容易使交叉站点脚本(CSS)受到攻击。CSS 使用心不良用户在其他用户的 Web 话路中添加代码。如果用心不良用户成功利用此漏洞,每次用户返回您的 Web 站点时,服务器控制的 Web 站点可以用来在正访问的用户浏览器上运行代码。
注意 目录服务附带在 Windows 2000 中并随其一起安装,但缺省下并不启用它。如果您在 Windows 2000 上运行 Web 服务器,并且已启用了 Indexing Services,则 Microsoft 建议您应用此更新程序。关于此更新程序的详细信息,请阅读 Microsoft 安全公告 MS00-084。 (英文站点)