此安全更新可解决 Active Directory 证书服务 Web 注册中一个秘密报告的漏洞。 该漏洞是一个跨站点脚本执行 (XSS) 漏洞,可能允许特权提升,使攻击者能够在目标用户的上下文中在站点上执行任意命令。 成功利用此漏洞的攻击者需要发送一个特制链接,并说服用户单击该链接。 但是在所有情况下,攻击者无法强制用户访问网站。 相反,攻击者必须说服用户访问网站,方法通常是让用户单击电子邮件或 Instant Messenger 消息中的链接而转到容易受到攻击的网站。
对于 Windows Server 2003、Windows Server 2008 和 Windows Server 2008 R2 的所有受支持版本(Itanium 除外),此安全更新的等级为“重要”。此安全更新通过更正 Active Directory 证书服务 Web 注册站点验证输入参数的方式来解决漏洞。
More