Dieses Update behandelt eine neue Variante der Sicherheitslücke "Lesen von Dateifragmenten per HTR" in Internet-Informationsdienste (IIS) 5.0 mit aktivierter HTR-Funktionalität, die im Microsoft Security Bulletin MS01-004 beschrieben wird. Wenn Sie die HTR-Funktionalität verwenden, sollten Sie das Update jetzt downloaden, um zu verhindern, dass Benutzer mit bösartigen Absichten Teile bestimmter Dateien auf Ihrem Webserver lesen können.

Diese Sicherheitslücke hat folgende Ursachen: Die ISAPI-Erweiterung (Internet Services Application Programming Interface), die die Verarbeitung von HTR-Dateien übernimmt, kann eventuell dazu gebracht werden, auch Nicht-HTR-Dateien auf Serverseite, beispielsweise ASP-Dateien (Active Server Pages), zu verarbeiten. Wenn ein böswilliger Benutzer eine Datei vom Server mit einem speziellen ungültigen URL anfordert, kann er damit IIS veranlassen, die Datei mittels der ISAPI-Erweiterung zu verarbeiten, obwohl es sich nicht um eine HTR-Datei handelt. Der ISAPI-Filter versucht dann, die angeforderte Datei als HTR-Datei zu interpretieren. Dabei löscht er in der Datei zwar alle Inhalte außer Text, jedoch werden möglicherweise Teile des Textes an den böswilligen Benutzer zurückgeschickt.

Wir empfehlen, zur Beseitigung dieser Sicherheitslücke die HTR-Funktionalität in IIS grundsätzlich zu deaktivieren. Falls Sie jedoch die HTR-Funktionalität aufgrund geschäftskritischer Erfordernisse weiterhin nutzen müssen, sollten Sie das Update downloaden - auch wenn Sie bereits die Updates gegen die früheren Varianten dieser Sicherheitslücke installiert haben, die in den Microsoft Security Bulletins MS00-031 und MS00-044 beschrieben wurden. (Diese Sites sind auf Englisch.)

Kunden, die keinen besonderen Grund zur Verwendung der HTR-Funktionalität haben, sollten besser HTR deaktivieren, statt das Update zu downloaden. (Anweisungen zum Deaktivieren von HTR erhalten Sie im Abschnitt Frequently Asked Questions des Security Bulletin MS01-004).

Anmerkung Das Update wurde mit Datum vom 2. Februar 2001 überarbeitet. Microsoft empfiehlt, diese neue Version des Updates zu installieren.

Weitere Informationen zu dieser Sicherheitslücke erhalten Sie im Microsoft Security Bulletin MS01-004. (Diese Site ist auf Englisch.)

1. Klicken Sie auf Start, zeigen Sie auf Einstellungen, und klicken Sie dann auf Systemsteuerung.
2. Doppelklicken Sie auf Software.
3. Wählen Sie Windows 2000 Hotfix [Weitere Informationen unter Q285985] aus, und klicken Sie zum Deinstallieren auf Hinzufügen/Entfernen.