עדכון זה פותר את בעיית האבטחה של משתנה חדש של "קריאת קטע קובץ דרך htr." הקיימת ב- Internet Information Services (IIS) 5.0 שבו htr. זמין ונדונה ב- Microsoft Security Bulletin מספר MS01-004. הורד כעת אם אתה משתמש בתפקודיות של htr., כדי למנוע את האפשרות שמשתמש בעל כוונות שליליות יקרא קטעים של קבצים מסוימים בשרת האינטרנט שלך.
בעיית האבטחה קיימת מפני שניתן להשתמש שלא כשורה בהרחבת ה- ISAPI (Internet Services Application Programming Interface) שמעבד קבצי htr. במהלך עיבוד קבצי צד השרת שאינם htr. כגון Active Server Pages (דפי ASP). אם משתמש בעל כוונות שליליות מבקש קובץ מהשרת באמצעות סוג ספציפי של URL במבנה פגום, פעולה זו עלולה לגרום ל- IIS להשתמש בהרחבת ISAPI כדי לעבד את הקובץ, גם אם אין זה קובץ htr. ולמרות שהוא יסיר למעשה כל דבר למעט טקסט מתוך הקובץ, חלקים של הטקסט עלולים להישלח חזרה למשתמש בעל הכוונות השליליות.
השיטה המומלצת לסילוק בעיית אבטחה זו היא לבטל את התפקודיות של htr. ב- IIS. אם יש לך סיבה בעלת חשיבות עסקית קריטית להמשיך ולהשתמש בתפקודיות htr., עליך להוריד את העדכון, גם אם התקנת כבר עדכונים קודמים המספקים הגנה נגד המשתנים שנדונים ב- Microsoft Security Bulletins מספר MS00-031 וכן MS00-044. (האתר כתוב באנגלית).
לקוחות שאין להם סיבה להשתמש בתפקודיות htr. ושטרם הפכו את htr. לבלתי זמין, מוטב שיעשו כך במקום להוריד עדכון זה. (הוראות להפיכת htr. לבלתי זמין ניתנות בחלק Frequently Asked Questions של ה- Security Bulletin מספר MS01-004).
הערה עדכון זה תוקן ב-2 בפברואר, 2001. Microsoft ממליצה שתתקין גירסה זו של העדכון.
לקבלת מידע נוסף על בעיית אבטחה זו, קרא את Microsoft Security Bulletin מספר MS01-004. (האתר כתוב באנגלית).