Cette mise à jour, décrite dans le Bulletin de sécurité Microsoft MS01-004, élimine une nouvelle variante de la vulnérabilité de la sécurité « File Fragment Reading via .htr » présente dans Internet Information Server (IIS) 4.0 lorsque la fonctionnalité .htr est activée. Si vous utilisez la fonctionnalité .htr, téléchargez cette mise à jour pour empêcher un utilisateur malveillant de lire des extraits de certains fichiers sur votre serveur Web.

Cette vulnérabilité est due au fait que l'extension ISAPI (Internet Services Application Programming Interface) qui traite les fichiers .htr peut être utilisée de façon abusive pour traiter des fichiers non-.htr, tels que des pages ASP (Active Server Pages), côté serveur. Si un utilisateur malintentionné emploie un type spécifique d'URL non valide pour demander un fichier au serveur, l'extension ISAPI risque de traiter le fichier, même s'il ne s'agit pas d'un fichier .htr. Le filtre ISAPI tente d'interpréter le fichier demandé en tant que fichier .htr, et, bien qu'il supprime quasiment tout le contenu du fichier excepté le texte, certaines parties de texte peuvent être renvoyées à l'utilisateur.

La méthode recommandée pour éliminer cette vulnérabilité consiste à désactiver la fonctionnalité .htr dans IIS. Si les activités de votre entreprise imposent l'utilisation de cette fonctionnalité, vous devez télécharger la mise à jour, même si vous avez déjà installé des mises à jour destinées à vous protéger contre les variantes décrites dans les Bulletins de sécurité Microsoft MS00-031 et MS00-044 (ces sites sont en anglais).

Si vous n'avez pas besoin d'utiliser la fonctionnalité .htr mais ne l'avez pas encore désactivée, il est préférable de procéder à sa désactivation plutôt que de télécharger cette mise à jour. Des instructions de désactivation sont fournies dans la section Frequently Asked Questions du Bulletin de sécurité Microsoft MS01-004.

Remarque : Cette mise à jour a été révisée le 2 février 2001. Microsoft recommande d'installer cette version.

Pour plus d'informations sur cette vulnérabilité, consultez le Bulletin de sécurité Microsoft MS01-004 (ce site est en anglais).

1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration.
2. Double-cliquez sur Ajout/Suppression de programmes.
3. Sélectionnez Windows 2000 Hotfix [voir l'article Q285985 pour plus d'informations], puis cliquez sur Ajouter/Supprimer pour procéder à la désinstallation.