本文的目标读者：使用 Microsoft Proxy Server 2.0 or Microsoft Internet Security and Acceleration (ISA) Server 2000的客户

安全漏洞的影响：欺骗

最高严重等级：重要

建议：用户应尽早应用此更新。

安全更新替代：无

注意事项：无

测试过的软件和安全更新下载位置：

受影响的软件：

•	Microsoft Proxy Server 2.0 Service Pack 1– 下载更新
•	Microsoft Internet Security and Acceleration Server 2000 Service Pack 1 and Microsoft Internet Security and Acceleration Server 2000 Service Pack 2 – 下载更新 注意：如下软件包括 Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000).用户使用这些软件应该先安装 ISA Server 2000 安全更新。 • Microsoft Small Business Server 2000 • Microsoft Small Business Server 2003 Premium Edition

不受影响软件

•	Microsoft Internet Security and Acceleration (ISA) Server 2004

已对此列表中的软件进行了测试，以确定这些版本是否会受到影响。 其他版本或者不再包括安全更新支持，或者可能不会受到影响。 要确定产品和版本的技术支持生命周期，请访问 Microsoft 产品技术支持生命周期 Web 站点。

 

微软的安全公告:

http://www.microsoft.com/china/technet/security/bulletin/MS04-039.mspx

（以上链接均连到第三方网站）

技术摘要：

Executive Summary:

此更新可消除一个秘密报告的新发现漏洞。  本公告的“漏洞详细资料”部分中对此漏洞进行了说明。此漏洞使攻击者可以进行受信任 Internet 内容欺骗。

严重等级和漏洞标识：

漏洞标识	漏洞影响	ISA Server 2000	Proxy Server 2.0
Spoofing Vulnerability - CAN-2004-0892	欺骗	重要	重要

 漏洞详细资料

 欺骗漏洞 - CAN-2004-0892：

这是存在于受影响的产品中并且使攻击者可以进行受信任 Internet 内容欺骗的欺骗漏洞。 用户可能在实际上正在访问恶意 Internet 内容（例如恶意网站）时，以为自己正在访问受信任的 Internet 内容。 但是，攻击者首先必须劝诱用户访问攻击者的站点，以试图利用此漏洞。

 欺骗漏洞 (CAN-2004-0892) 的缓解因素：

• 攻击者不能利用此漏洞进行 SSL 证书欺骗。 攻击不能成功地使用属于其他域名的 SSL 证书。 例如，欺骗网站不能使用受信任网站的 SSL 证书与用户建立 SSL 会话。 如果欺骗网站尝试这样做，身份验证会失败，并且用户收到警告消息。
 
• 攻击者首先必须劝诱用户查看导致反向搜索的内容。 例如，攻击者可能劝诱用户使用导致反向搜索的 IP 地址访问攻击者的网站。
 
• 启用默认站点和内容规则而允许“所有通信量”至“所有目标”的系统不受此漏洞的影响。 但是，作为一种安全最佳做法准则，通常禁用此规则，因此我们建议不要为了减轻此问题漏洞的影响而启用此规则。
 

修订版本： 

•	V1.0（2004 年 11 月 9日）：已发布公告