Esta atualização resolve a vulnerabilidade de segurança "Canonicalização da permissão de arquivos" no Internet Information Server 4.0 (IIS 4.0) e no Internet Information Services 5.0 (IIS 5.0). Faça agora o download para evitar que um usuário mal-intencionado obtenha permissão para usar arquivos Internet Server Application Programming Interface (ISAPI) hospedados em um servidor Web. Essa vulnerabilidade não afeta páginas da Web estáticas ou tipos de arquivos que não são da Web, como .exe, .doc ou .bat.
Um erro de canonicalização, sob determinadas condições, faz com que o IIS 4.0 ou o IIS 5.0 aplique permissões incorretas a tipos de arquivos específicos. Se um arquivo afetado residir em uma pasta com permissões restritas e for solicitado através de um tipo específico de URL malformado, as permissões realmente usadas serão as da cadeia de parentesco do arquivo e não as da pasta na qual o arquivo realmente está. Se as permissões do arquivo ancestral forem mais abrangentes que aquelas da pasta correta, o usuário mal-intencionado poderá ganhar privilégios adicionais ao arquivo afetado. A vulnerabilidade pode ser explorada somente sob condições bastante específicas:
Para obter mais informações sobre esta vulnerabilidade, leia o documento MS00-057 do Microsoft Security Bulletin. (Site em inglês.)