Microsoft索引服务可以为文件系统和虚拟Web服务器创建内容和属性的索引目录。
索引服务没有正确地验证查询参数,可能允许跨站脚本执行。
如果用户受骗访问了恶意站点的话,就可能允许攻击者代表用户运行客户端脚本。该脚本可能欺骗内容、泄露信息或执行用户可以在受影响的网站上执行的任何操作。成功攻击要求可以通过IIS访问索引服务。
Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows Server 2003 SP1
Microsoft Windows Server 2003
Microsoft Windows 2000
临时解决方法:
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS06-053)以及相应补丁:
MS06-053:Vulnerability in Indexing Service Could Allow Cross-Site Scripting (920685)
链接:http://www.microsoft.com/technet/security/Bulletin/MS06-053.mspx