Esta atualização resolve a nova variante da vulnerabilidade de segurança "Leitura de fragmento de arquivo através de .htr" presente no Internet Information Server (IIS) 4.0 com a funcionalidade .htr ativada e é abordada no Microsoft Security Bulletin MS01-004. Faça download agora se você usar a funcionalidade .htr, para impedir que um usuário mal-intencionado leia partes de alguns arquivos no seu servidor Web.

A vulnerabilidade existe porque a extensão ISAPI (interface de programação de aplicativos de servidores da Internet) que processa arquivos .htr pode ser usada incorretamente no processamento de arquivos que não sejam .htr e sejam do lado servidor, como Active Server Pages (páginas ASP). Se um usuário mal-intencionado solicitar um arquivo do servidor usando um tipo específico de URL malformado, isso poderá fazer com que o IIS use a extensão ISAPI para processar o arquivo, mesmo se não for um arquivo .htr. O filtro ISAPI tenta interpretar o arquivo solicitado como um arquivo .htr e, apesar de ele remover virtualmente vários itens (exceto texto do arquivo), partes do texto podem ser enviadas de volta para o usuário mal-intencionado.

O método recomendado para eliminar essa vulnerabilidade é desativar a funcionalidade .htr no IIS. Se tiver um motivo comercial crítico para continuar a usar a funcionalidade .htr, você deve fazer o download da atualização, mesmo se já tiver instalado atualizações anteriores que fornecem proteção contra as variantes abordadas em Microsoft Security Bulletins MS00-031 e MS00-044. (Sites em inglês.)

Os clientes que não têm motivos para usar a funcionalidade .htr e ainda não desativaram .htr devem fazer isso em vez de fazer download dessa atualização. (Instruções para desativar .htr são fornecidas na seção Frequently Asked Questions de Security Bulletin MS01-004).

Observação Essa atualização foi revisada em 2 de fevereiro de 2001. A Microsoft recomenda que você instale esta versão da atualização.

Para obter mais informações sobre essa vulnerabilidade, consulte Microsoft Security Bulletin MS01-004. (Site em inglês.)

1. Clique em Iniciar, aponte para Configurações e clique em Painel de controle.
2. Clique duas vezes em Adicionar ou remover programas.
3. Selecione Windows 2000 Hotfix [Consulte Q285985 para obter mais informações] e clique em Adicionar ou remover para desinstalar.