Ta aktualizacja usuwa nowy wariant luki w zabezpieczeniach „File Fragment Reading via .htr” („Czytanie fragmentu pliku poprzez pliki .htr”) występujący w programie Internetowe usługi informacyjne 5.0 (Internet Information Services, IIS) z włączoną funkcją obsługi plików .htr i jest omówiona w biuletynie Microsoft Security Bulletin MS01-004. Jeżeli używasz funkcji obsługi plików .htr, pobierz tę aktualizację teraz, aby uniemożliwić złośliwemu użytkownikowi odczytywanie części niektórych plików z Twojego serwera sieci Web.

Luka ta istnieje, ponieważ rozszerzenie interfejsu ISAPI (Internet Services Application Programming Interface), które przetwarza pliki .htr, może zostać wykorzystane nieprawidłowo w przetwarzaniu plików innych niż .htr po stronie serwera, takich jak aktywne strony serwera (Active Server Pages, ASP). Jeżeli złośliwy użytkownik zażąda od serwera pliku przy użyciu określonego typu spreparowanego adresu URL, może to spowodować, że program IIS użyje rozszerzenia interfejsu ISAPI do przetwarzania tego pliku, nawet jeśli nie będzie to plik .htr. Filtr interfejsu ISAPI próbuje zinterpretować żądany plik jako plik .htr i chociaż z pliku zostanie usunięte prawie wszystko oprócz tekstu, części tego tekstu mogą zostać odesłane do złośliwego użytkownika.

Zalecana metoda wyeliminowania tej luki to wyłączenie funkcji obsługi plików .htr w programie IIS. Jeżeli istnieją krytyczne dla firmy przyczyny dalszego używania funkcji obsługi plików .htr, należy pobrać tę aktualizację, nawet jeżeli wcześniej zainstalowano wcześniejsze aktualizacje zabezpieczające przed wariantami luki omówionymi w biuletynach Microsoft Security Bulletin MS00-031 i MS00-044. (Witryny w języku angielskim.)

Klienci, którzy nie mają potrzeby używania funkcji obsługi plików .htr i jeszcze nie wyłączyli funkcji obsługi .htr, powinni to zrobić, zamiast pobierać tę aktualizację. (Instrukcje dotyczące wyłączania obsługi plików .htr zostały omówione w sekcji Frequently Asked Questions (Często zadawane pytania) biuletynu Security Bulletin MS01-004).

Uwaga Ta aktualizacja została poprawiona w dniu 2 lutego 2001. Firma Microsoft zaleca zainstalowanie tej wersji aktualizacji.

Więcej informacji na temat tej luki w zabezpieczeniach zawiera biuletyn Microsoft Security Bulletin MS01-004. (Witryna w języku angielskim.)

1. Kliknij przycisk Start, wskaż polecenie Ustawienia, a następnie kliknij polecenie Panel sterowania.
2. Kliknij dwukrotnie aplet Dodaj/Usuń programy.
3. Wybierz pozycję Windows 2000 Hotfix [Aby uzyskać więcej informacji, należy zapoznać się z artykułem Q285985], a następnie kliknij przycisk Dodaj/Usuń w celu dezinstalacji.