Dieses Updates schließt die Sicherheitslücke "File Permission Canonicalization (Festlegung von Dateirichtlinien)" in Internet Information Server 4.0 (IIS 4.0) und Internetinformationsdienste 5.0 (IIS 5.0). Downloaden Sie das Update jetzt, um zu verhindern, dass ein Angreifer die Berechtigung erlangen kann, ISAPI-Dateien (Internet Server Application Programming Interface) auf einem Webserver zu verwenden. Diese Sicherheitslücke betrifft nicht statische Webseiten oder nicht webspezifische Dateitypen, wie .exe-, .doc- oder .bat-Dateien.

Ein so genannter Canonicalization-Fehler kann unter gewissen Umständen IIS 4.0 oder IIS 5.0 dazu veranlassen, unrichtige Berechtigungen für bestimmte Dateitypen anzuwenden. Wenn die betroffene Datei in einem Ordner mit eingeschränkten Berechtigungen gespeichert ist und diese Datei über einen fehlerhaften URL abgerufen wird, werden die Berechtigungen verwendet, die übergeordneten Ordnern zugewiesen sind, und nicht die Berechtigungen des Ordners, in dem sich die Datei tatsächlich befindet. Wenn die Berechtigungen des übergeordneten Ordners nicht so eingeschränkt sind wie die des eigentlichen Ordners, erhält der Angreifer mehr Zugriffsrechte auf die Datei. Diese Sicherheitslücke kann nur unter ganz besonderen Bedingungen ausgenutzt werden:

• Diese Sicherheitslücke betrifft nur CGI-Skriptdateien und Dateitypen, die über die ISAPI-Erweiterungen verwendet werden. Statische Webseiten oder nicht webspezifische Dateitypen, wie .exe-, .doc- oder .bat-Dateien, sind davon nicht betroffen.
• Es sind nur Server betroffen, die über eine Webordnerstruktur verfügen, die mit der physischen Ordnerstruktur auf dem Server identisch ist.
• Es werden keine beliebigen Berechtigungen vergeben, sondern maximal die Berechtigungen des übergeordneten Ordners.
• Durch diese Sicherheitslücke können keine Server aufgelistet werden, und es kann nicht nach Dateien gesucht werden, die durch die Sicherheitslücke betroffen wären.

Weitere Informationen zu dieser Sicherheitslücke finden Sie im Microsoft Security Bulletin MS00-057. (Diese Site ist in englischer Sprache.)

• Wenn das/die betreffende Update/Komponente für ein Betriebssystem bestimmt ist, verwenden Sie Diese(s) <Komponente kann auf/Update ist für> dem/das folgende(n) Betriebssystem<s> installiert werden/bestimmt:
• Wenn die Systemanforderungen für mehrere Betriebssysteme bestimmt sind, verwenden Sie Für die Installation von <Titel> muss Ihr Computer mindestens die folgenden Systemanforderungen erfüllen:

• Hier stehen die Systemanforderungen.
• Hier stehen die Systemanforderungen.

• Wenn für den Download kein Neustart oder besondere Benutzeraktionen erforderlich sind, verwenden Sie "Nach der Installation der Komponente sind keine weiteren Schritte erforderlich."
• Wenn nach der Installation des Downloads ein Neustart erforderlich ist, verwenden Sie "Starten Sie Ihren Computer neu, um die Installation abzuschließen."
• Wenn der Benutzer schrittweise Anweisungen für die/das Komponente/Update befolgen muss, führen Sie diese in einer gegliederten Liste auf.

1. Hier stehen die Anweisungen.
2. Hier stehen die Anweisungen.

• Wenn keine Deinstallation zur Verfügung steht, verwenden Sie "Eine Deinstallation ist nicht möglich."
• Wenn eine Deinstallation möglich ist, führen Sie die Anweisungen in einer gegliederten Liste auf.

1. Hier stehen die Deinstallationsanweisungen.
2. Hier stehen die Deinstallationsanweisungen.