Microsoft索引服务查询验证跨站脚本执行漏洞（MS06-053）

Microsoft索引服务可以为文件系统和虚拟Web服务器创建内容和属性的索引目录。

索引服务没有正确地验证查询参数，可能允许跨站脚本执行。

如果用户受骗访问了恶意站点的话，就可能允许攻击者代表用户运行客户端脚本。该脚本可能欺骗内容、泄露信息或执行用户可以在受影响的网站上执行的任何操作。成功攻击要求可以通过IIS访问索引服务。

Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows Server 2003 SP1
Microsoft Windows Server 2003
Microsoft Windows 2000
临时解决方法：

• 不要从用作服务器的系统浏览Internet
• 禁用Internet Explorer中的页面编码自动检测
• 在运行IIS 5.0的Windows 2000上使用URLScan
• 从运行IIS 5.0的Windows 2000上的Internet信息服务中删除索引服务器ISAPI扩展脚本映射
• 删除索引服务
• 从运行IIS 6.0的Windows 2003上的IIS中禁用索引服务扩展

厂商补丁：

Microsoft

Microsoft已经为此发布了一个安全公告（MS06-053）以及相应补丁:
MS06-053：Vulnerability in Indexing Service Could Allow Cross-Site Scripting (920685)
链接：http://www.microsoft.com/technet/security/Bulletin/MS06-053.mspx