发布日期：2006-09-13
更新日期：2006-09-13

受影响系统：

Microsoft Windows XP SP2
Microsoft Windows XP SP1
Microsoft Windows Server 2003 SP1
Microsoft Windows Server 2003
Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 19927
CVE(CAN) ID: CVE-2006-0032

Microsoft索引服务可以为文件系统和虚拟Web服务器创建内容和属性的索引目录。

索引服务没有正确地验证查询参数，可能允许跨站脚本执行。

如果用户受骗访问了恶意站点的话，就可能允许攻击者代表用户运行客户端脚本。该脚本可能欺骗内容、泄露信息或执行用户可以在受影响的网站上执行的任何操作。成功攻击要求可以通过IIS访问索引服务。

<*来源：Eiji James Yoshida （ptrs-ejy@bp.iij4u.or.jp）
  
  链接：http://secunia.com/advisories/21861
        http://www.microsoft.com/technet/security/Bulletin/MS06-053.mspx
        http://www.us-cert.gov/cas/techalerts/TA06-255A.html
*>

建议：

---

临时解决方法：

* 不要从用作服务器的系统浏览Internet
* 禁用Internet Explorer中的页面编码自动检测
* 在运行IIS 5.0的Windows 2000上使用URLScan
* 从运行IIS 5.0的Windows 2000上的Internet信息服务中删除索引服务器ISAPI扩展脚本映射
* 删除索引服务
* 从运行IIS 6.0的Windows 2003上的IIS中禁用索引服务扩展

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS06-053）以及相应补丁:
MS06-053：Vulnerability in Indexing Service Could Allow Cross-Site Scripting (920685)
链接：http://www.microsoft.com/technet/security/Bulletin/MS06-053.mspx

浏览次数：3107
严重程度：0（网友投票）