Os arquivos .htr são scripts que podem ser usados no Windows 2000 para alterar senhas, além de várias funções de administração de senhas. Nenhuma dessas vulnerabilidades permite alteração, inclusão ou exclusão de dados no servidor, nem permite controle administrativo sobre o computador afetado.

Detalhes sobre as duas vulnerabilidades que são tratadas nesta atualização:

• Vulnerabilidade "Argumento de navegador de diretório ausente". Um script administrativo que tenha sido instalado como parte do IIS 3.0 e tenha sido preservado na atualização para o IIS 4.0 ou IIS 5.0 não manipula corretamente o caso em que esteja faltando um argumento esperado. A falta do argumento faz com que o script entre em loop, a ponto de consumir todos os recursos da CPU no servidor. Além disso, as permissões nessa ferramenta e várias outras relacionadas, que são apropriadas no IIS 3.0, não são apropriadas no IIS 5.0. Isso pode permitir que visitantes do site da Web utilizem essas ferramentas, que possibilitam a visualização da estrutura de diretórios no servidor.
• Nova variante da vulnerabilidade "Leitura de fragmento de arquivo via .htr". A versão original desta vulnerabilidade foi discutida no Microsoft Security Bulletin MS00-031 (site em inglês). A nova vulnerabilidade se difere da anterior somente na maneira específica como pode ser explorada. Como na versão original, o efeito da vulnerabilidade é de que fragmentos de arquivos .asp ou de outros arquivos poderiam ser retirados do servidor. A mecânica da nova variante faz com que, provavelmente, sejam retiradas as partes do arquivo .asp que mais interessam ao usuário mal-intencionado.

Para obter mais informações sobre essas vulnerabilidades, consulte o Microsoft Security Bulletin MS00-044. (Site em inglês.)

1. Clique em Iniciar, aponte para Configurações e clique em Painel de controle.
2. Clique duas vezes em Adicionar ou remover programas.
3. Selecione Windows 2000 Hotfix [Consulte o artigo Q267560 para obter mais informações] e clique em Alterar ou remover para desinstalar.