קבצי htr. הם scripts שבהם ניתן להשתמש ב- Windows 2000 כדי לשנות סיסמאות ואשר יכולים לשמש מנהלי מערכות כדי לבצע מגוון פונקציות ניהול סיסמאות. אף אחת מבעיות אבטחה אלה אינה מאפשרת שינוי, הוספה או מחיקה של נתונים בשרת וכן אף אחת מהבעיות אינה מאפשרת שליטה של מנהל מערכת במחשב המושפע.

פרטים על שתי בעיות אבטחה אלה ניתנים בעדכון זה:

• בעיית האבטחה "ארגומנט חסר בדפדפן ספריות". Script ניהולי שהותקן כחלק מ- IIS 3.0 ושנשמר בעדכון ל- IIS 4.0 או IIS 5.0, אינו מטפל נכון במקרה שבו חסר ארגומנט צפוי. חוסר הארגומנט גורם ל- script להיכנס ללולאה אין-סופית ובנקודה זו ה- script צורך את כל משאבי ה- CPU בשרת. בנוסף, ההרשאות בכלי זה ובמספר כלים הקשורים אליו, שהיו מתאימות במסגרת IIS 3.0, אינן מתאימות במסגרת IIS 5.0. דבר זה עלול לאפשר למבקרים באתר אינטרנט שימוש בכלים אלה, המספקים את היכולת להציג את מבנה הספריה של השרת.
• משתנה חדש בבעיית האבטחה "קריאת קטע קובץ דרך htr." הגירסה המקורית של בעיית אבטחה זו נדונה ב- Microsoft Security Bulletin מספר MS00-031. (האתר כתוב באנגלית). בעיית האבטחה החדשה שונה רק בדרך הספציפית שניתן לנצל אותה. כמו בגירסה המקורית, תוצאת בעיית האבטחה היא שקטעים של asp. או קבצים אחרים ניתנים לאחזור פוטנציאלי מהשרת. כמו בגירסה המקורית, המכניקה של המשתנה החדש הופכת לסבירה את האפשרות שמשתמש בעל כוונות שליליות יוכל להסיר חלקים של קובץ asp., שמעניינים אותו במיוחד.

לקבלת מידע נוסף על בעיות אבטחה אלה, קרא את Microsoft Security Bulletin מספר MS00-044. (האתר כתוב באנגלית).

1. לחץ על התחל, הצבע על הגדרות ולאחר מכן לחץ על לוח הבקרה.
2. לחץ פעמיים על הוספה/הסרה של תוכניות.
3. בחר באפשרות Windows 2000 Hotfix [לקבלת מידע נוסף, ראה Q267560] ולחץ על שנה/הסר כדי להסיר את ההתקנה.