Les fichiers .htr sont des scripts qui peuvent être utilisés dans Windows 2000 pour modifier les mots de passe. Ils permettent également aux administrateurs d'effectuer des opérations d'administration de mots de passe variées. Aucune de ces vulnérabilités ne permet la modification, l'ajout ou la suppression de données du serveur et le contrôle d'administration sur l'ordinateur affecté.

Détails relatifs aux deux vulnérabilités éliminées dans cette mise à jour :

• La vulnérabilité « Absent Directory Browser Argument ». Un script d'administration, installé avec IIS 3.0 et conservé lors de la mise à niveau vers IIS 4.0 ou IIS 5.0, ne gère pas correctement l'absence d'un argument attendu. L'absence de cet argument entraîne l'exécution en boucle du script et, de ce fait, l'utilisation de toutes les ressources du processeur du serveur. En outre, les autorisations sur cet outil ainsi que sur plusieurs autres, appropriées sous IIS 3.0, ne le sont plus sous IIS 5.0. Ce problème peut permettre à des visiteurs de sites Web d'utiliser ces outils et de visualiser ainsi la structure de répertoires sur le serveur.
• Une nouvelle variante de la vulnérabilité « File Fragment Reading via .htr ». La version d'origine de cette vulnérabilité est décrite dans le Bulletin de sécurité Microsoft MS00-031 (ce site est en anglais). Cette nouvelle vulnérabilité diffère uniquement dans la manière de l'exploiter. Comme pour la version d'origine, des fragments de fichiers .asp et d'autres fichiers peuvent être extraits du serveur.

Pour plus d'informations sur ces vulnérabilités, consultez le Bulletin de sécurité Microsoft MS00-044 (ce site est en anglais).

1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration.
2. Double-cliquez sur Ajout/Suppression de programmes.
3. Sélectionnez Windows 2000 Hotfix [voir l'article Q267560 pour plus d'informations], puis cliquez sur Modifier/Supprimer pour procéder à la désinstallation.