Os arquivos .htr são scripts que podem ser usados no Windows NT® 4.0 para alterar senhas, além de várias funções de administração de senhas. Nenhuma dessas vulnerabilidades permite alteração, inclusão ou exclusão de dados no servidor, nem permite controle administrativo sobre o computador afetado.

Detalhes sobre as duas vulnerabilidades que são tratadas nesta atualização:

• Vulnerabilidade "Argumento de navegador de diretório ausente". Um script administrativo que tenha sido instalado como parte do IIS 3.0 e tenha sido preservado na atualização para o IIS 4.0 ou IIS 5.0 não manipula corretamente o caso em que esteja faltando um argumento esperado. >A falta do argumento faz com que o script entre em loop, a ponto de consumir todos os recursos da CPU no servidor. Além disso, as permissões nessa ferramenta e várias outras relacionadas, que são apropriadas no IIS 3.0, não são apropriadas no IIS 4.0. Isso pode permitir que visitantes do site da Web utilizem essas ferramentas, que possibilitam a visualização da estrutura de diretórios no servidor.
• Nova variante da vulnerabilidade "Leitura de fragmento de arquivo via .htr". A versão original desta vulnerabilidade foi discutida no Microsoft Security Bulletin MS00-031 (site em inglês). A nova vulnerabilidade se difere da anterior somente na maneira específica como pode ser explorada. Como na versão original, o efeito da vulnerabilidade é de que fragmentos de arquivos .asp ou de outros arquivos poderiam ser retirados do servidor. A mecânica da nova variante faz com que, provavelmente, sejam retiradas as partes do arquivo .asp que mais interessam ao usuário mal-intencionado.

Para obter mais informações sobre essas vulnerabilidades, consulte o Microsoft Security Bulletin MS00-044. (Site em inglês.)

1. Clique em Iniciar, aponte para Configurações e clique em Painel de controle.
2. Clique duas vezes em Adicionar ou remover programas.
3. Selecione Windows NT Hotfix [Consulte o artigo Q267560 para obter mais informações] e clique em Alterar ou remover para desinstalar.