该更新程序解决了 Internet Information Services (IIS) 5.0 和 Internet Information Server (IIS) 4.0 中的“IIS Cross-Site Scripting”安全性漏洞。 该漏洞可以使用心不良用户假冒第三方 Web 站点在其他用户的计算机上运行代码。 如果用心不良的用户成功利用了该漏洞,则由服务器控制的 Web 站点会被用来运行代码,转发信息,并要在所有访问用户的计算机上读取和写入 cookies。 立即下载以防止用心不良用户在您的 Web 服务器上导入代码,并将该代码作为 Web 页(由服务器控制)返回正访问的浏览器。
注意 该更新程序仅解决了 IIS 中的漏洞。 Microsoft 建议拥有 Web 站点的客户与供应商联系,获取运行在其服务器上的软件程序,并确认供应商已经对每一个软件程序检查了 Cross-Site Scripting 安全性漏洞。 静态 Web 页不会受该漏洞影响,Web 服务器仅提供静态内容的客户不用安装该更新。
该漏洞不允许用心不良的操作员添加、更改或删除 Web 站点的任何内容。
运行在 Web 服务器上的任何软件如果进行下列操作,将易于受到攻击:
有关该漏洞的详细信息,请参阅 Microsoft 安全公告 MS00-060。 (英文站点)