Ta aktualizacja usuwa lukę w zabezpieczeniach „File Permission Canonicalization” („Kanonizacja uprawnień do plików”) w programie Internet Information Server 4.0 (IIS 4.0) i w programie Internetowe usługi informacyjne 5.0 (IIS 5.0). Pobierz tę aktualizację teraz, aby uniemożliwić złośliwemu użytkownikowi uzyskanie uprawnień do korzystania z plików interfejsu ISAPI (Internet Server Application Programming Interface) znajdujących się na serwerze sieci Web. Ta luka nie ma wpływu na statyczne strony sieci Web lub typy plików nie związanych z siecią Web, na przykład .exe, .doc lub .bat.
Błąd kanonizacji może, w określonych warunkach, spowodować, że program IIS 4.0 lub IIS 5.0 zastosuje nieprawidłowe uprawnienia do niektórych typów plików. Jeśli dany plik znajduje się w folderze z ograniczonymi uprawnieniami i żądanie jego uzyskania jest wysyłane za pomocą określonego typu spreparowanego adresu URL, to używane są uprawnienia z łańcucha folderów nadrzędnych, ale nie te z folderu, w którym rzeczywiście znajduje się plik. Jeśli uprawnienia folderu nadrzędnego są większe niż uprawnienia właściwego folderu, złośliwy użytkownik może uzyskać dodatkowe uprawnienia do tego pliku. Luka może zostać wykorzystana tylko w określonych warunkach:
Więcej informacji na temat tej luki zawiera biuletyn Microsoft Security Bulletin MS00-057. (Witryna w języku angielskim.)