Questo aggiornamento consente di risolvere il problema di protezione "File Permission Canonicalization" riscontrato in Internet Information Server 4.0 (IIS 4.0) e Internet Information Services 5.0 (IIS 5.0). Eseguendo il dowload si evita che un utente malintenzionato possa ottenere l'autorizzazione necessaria all'utilizzo di file ISAPI (Internet Server Application Programming Interface) in un server Web. La vulnerabilità alla base di questo problema di protezione non interessa le pagine Web statiche né i tipi di file che non sono relativi al Web, quali ad esempio EXE, DOC o BAT.

In alcune situazioni, se si verifica un errore di canonicalizzazione può accadere che IIS 4.0 o IIS 5.0 applichi delle autorizzazioni errate ad alcuni tipi di file. Se uno dei file interessati è contenuto in una cartella con autorizzazioni limitate e tale file viene richiesto tramite un particolare tipo di URL non valido, il risultato è che le autorizzazioni effettivamente utilizzate non sono quelle relative alla cartella che contiene il file ma sono quelle di una delle cartelle nel percorso del file. Se le autorizzazioni di tale cartella sono meno restrittive rispetto alle autorizzazioni della cartella corretta, un utente malintenzionato può ottenere privilegi aggiuntivi sul file. Questa vulnerabilità può essere sfruttata solamente in condizioni molto particolari:

• La vulnerabilità interessa solo script CGI e tipi di file che vengono implementati tramite le estensioni ISAPI. Non interessa pagine Web statiche né tipi di file che non sono relativi al Web, quali ad esempio EXE, DOC o BAT.
• La vulnerabilità interessa solamente i server che espongono una struttura di cartelle Web che rispecchia la struttura effettiva delle cartelle sul server.
• Non consente di selezionare autorizzazioni arbitrarie, ma solamente quelle presenti in una delle cartelle superiori.
• Non consente di enumerare il contenuto del server per individuare i file che potrebbero essere soggetti alla vulnerabilità.

Per ulteriori informazioni, vedere il Microsoft Security Bulletin MS00-057 (informazioni in lingua inglese).

• Windows 2000 Professional
• Windows 2000 Server
• Windows 2000 Advanced Server
• Internet Information Server 4.0
• Internet Information Services 5.0

1. Scegliere Impostazioni dal menu di avvio, quindi fare clic su Pannello di controllo.
2. Fare doppio clic sull'icona Installazione applicazioni.
3. Selezionare Windows 2000 Hotfix (Pre-SP2) [Per ulteriori informazioni vedere Q269862], quindi fare clic su Cambia/Rimuovi per procedere con la disinstallazione.