Denne opdatering løser en ny variant af sikkerhedsproblemet "File Fragment Reading via .htr" i Internet Information Service (IIS) 5.0, hvor .htr er aktiveret, og er omtalt i Microsoft Security Bulletin MS01-004. Hent opdateringen nu, hvis du bruger .htr-funktionaliteten, for at forhindre en ondsindet bruger i at læse dele af bestemte filer på webserveren.
Problemet eksisterer, fordi ISAPI-udvidelsen (Internet Services Application Programming Interface), der behandler .htr-filer, kan anvendes på forkert måde til at behandle ikke-.htr-filer på serversiden, f.eks. ASP-sider (Active Server Pages). Hvis en ondsindet bruger anmoder om en fil fra serveren ved hjælp af en specifikt forkert udformet URL-adresse, kan det få IIS til at bruge ISAPI-udvidelsen til at behandle filen, selv om det ikke er en .htr-fil. ISAPI-filteret forsøger at tolke den anmodede fil som en .htr-fil, og selv om næsten alt andet end teksten fjernes fra filen, kan dele af teksten blive sendt til den ondsindede bruger.
Den anbefalede metode til fjernelse af dette problem er at deaktivere .htr-funktionaliteten i IIS. Hvis du har en forretningskritisk grund til at bruge .htr-funktionaliteten, bør du hente opdateringen, selv om du allerede har installeret tidligere opdateringer, der beskytter imod de varianter, der er omtalt i Microsoft Security Bulletins MS00-031 og MS00-044. Disse websteder er på engelsk.
Kunder, der ikke har grund til at bruge .htr-funktionaliteten, og ikke allerede har deaktiveret .htr, bør deaktivere funktionaliteten i stedet for at hente denne opdatering. Vejledning til deaktivering af .htr finder du i afsnittet Frequently Asked Questions i Security Bulletin MS01-004).
Bemærk! Denne opdatering er blevet ændret den 2. februar 2001. Microsoft anbefaler, at du installerer denne version af opdateringen.
Yderligere oplysninger om dette problem finder du i Microsoft Security Bulletin MS01-004. Dette websted er på engelsk.