Cette mise à jour, décrite dans le Bulletin de sécurité Microsoft MS01-004, élimine une nouvelle variante de la faille de la sécurité « File Fragment Reading via .htr » présente dans Internet Information Service (IIS) 5.0 lorsque la fonctionnalité .htr est activée. Si vous utilisez la fonctionnalité .htr, téléchargez cette mise à jour pour empêcher un utilisateur malveillant de lire des extraits de certains fichiers sur votre serveur Web.

Cette faille est due au fait que l'extension ISAPI (Internet Services Application Programming Interface) qui traite les fichiers .htr peut être utilisée de façon abusive pour traiter des fichiers non-.htr, tels que des pages ASP (Active Server Pages), côté serveur. Si un utilisateur malintentionné emploie un type spécifique d'URL non valide pour demander un fichier au serveur, l'extension ISAPI risque de traiter le fichier, même s'il ne s'agit pas d'un fichier .htr. Le filtre ISAPI tente d'interpréter le fichier demandé en tant que fichier .htr, et, bien qu'il supprime quasiment tout le contenu du fichier excepté le texte, certaines parties de texte peuvent être renvoyées à l'utilisateur.

La méthode recommandée pour éliminer cette faille consiste à désactiver la fonctionnalité .htr dans IIS. Si, pour des raisons professionnelles, vous devez continuer d'utiliser la fonctionnalité .htr, téléchargez cette mise à jour, même si vous avez déjà installé des mises à jours précédentes qui fournissent une protection contre les variantes présentées dans les Bulletins de sécurité Microsoft MS00-031 et MS00-044 (ces sites sont en anglais).

Si vous n'avez pas besoin d'utiliser la fonctionnalité .htr mais ne l'avez pas encore désactivée, il est préférable de procéder à sa désactivation plutôt que de télécharger cette mise à jour. Des instructions de désactivation sont fournies dans la section Frequently Asked Questions du Bulletin de sécurité Microsoft MS01-004.

Remarque Cette mise à jour a été révisée le 2 février 2001. Microsoft recommande d'installer cette version.

Pour plus d'informations sur cette faille, consultez le Bulletin de sécurité Microsoft MS01-004 (ce site est en anglais).

1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration.
2. Double-cliquez sur Ajout/Suppression de programmes.
3. Sélectionnez Windows 2000 Hotfix [voir l'article Q285985 pour plus d'informations], puis cliquez sur Ajouter/Supprimer pour procéder à la désinstallation.