Dieses Update behandelt die "Ungültige Treffermarkierung"-Sicherheitslücke bei Computern unter Windows 2000, auf denen der Indexdienst ausgeführt wird. Das Problem wird im Microsoft Security Bulletin MS01-025 näher beschrieben. Downloaden Sie jetzt dieses Update, um zu verhindern, dass ein böswilliger Benutzer unbefugt Dateien auf Ihrem Webserver lesen kann.

Wenn Sie eine Suche mit dem Indexdienst durchführen, zeigt die Treffermarkierungsfunktion Ergebnisse, die Ihrer Suchabfrage entsprechen, als markierte Textteile im Dokument an. Die Sicherheitslücke besteht darin, dass der Indexdienst die Parameter für die Treffermarkierung bei Suchanforderungen nicht ordnungsgemäß setzt. Wenn ein böswilliger Benutzer eine ungültige Anforderung bestimmten Typs übermittelt, ruft diese Anforderung unabhängig von den vom Administrator eingerichteten Benutzerberechtigungen Dateien auf dem Server ab.

Prinzipiell sollte der Benutzer beim Treffermarkierungsfeature den Namen des Dokuments angeben, in dem die Treffer markiert werden sollen. Der Benutzer sollte nur Dokumente innerhalb der virtuellen Verzeichnisse des Servers anfordern können. Mittels einer ungültigen Anforderung bestimmten Typs können jedoch auch Dateien nach ihrem physischen Speicherort auf dem Laufwerk angefordert werden.

Weitere Informationen zu dieser Sicherheitslücke erhalten Sie im Microsoft Security Bulletin MS01-025. (Diese Site ist in Englisch.)