I file htr sono script che possono essere utilizzati in Windows 2000 per modificare le password e che gli amministratori possono utilizzare per svolgere molte funzioni di amministrazione delle password. Nessuna delle due vulnerabilità consente di modificare, aggiungere o eliminare dati sul server o di acquisire il controllo del computer con autorizzazioni amministrative.

Informazioni sulle vulnerabilità risolte da questo aggiornamento:

• Vulnerabilità “Absent Directory Browser Argument”. Uno script amministrativo che viene installato con IIS 3.0, e che viene conservato anche dopo l'aggiornamento a IIS 4.0 o IIS 5.0, non gestisce in modo corretto le situazioni in cui un argomento atteso non viene fornito. La mancanza dell'argomento fa sì che lo script entri in un ciclo infinito, consumando tutte le risorse della CPU del server. Inoltre, le autorizzazioni per questo ed altri strumenti correlati erano appropriate in IIS 3.0, ma non lo sono in IIS 4.0. Ciò può consentire ai visitatori dei siti Web di utilizzare tali strumenti e quindi di visualizzare la struttura delle directory del server.
• Nuova variante della vulnerabilità “File Fragment Reading via .htr”. La versione originale di questa vulnerabilità era discussa nel Microsoft Security Bulletin MS00-031 (informazioni in lingua inglese). La nuova variante si differenzia solo per i meccanismi di sfruttamento della vulnerabilità. Come nella versione originale, l'effetto è la possibilità di recuperare dal server frammenti di file asp e di altro tipo. Le caratteristiche stesse di questa vulnerabilità rendono possibile l'estrazione da file asp di parti di interesse per un utente malintenzionato.

Per ulteriori informazioni, vedere il Microsoft Security Bulletin MS00-044 (informazioni in lingua inglese).

1. Fare clic su Start, scegliere Impostazioni e quindi fare clic su Pannello di controllo.
2. Fare doppio clic sull'icona Installazione applicazioni.
3. Selezionare Windows 2000 Hotfix [Per ulteriori informazioni vedere Q267560], quindi fare clic su Cambia/Rimuovi.