Questo aggiornamento consente di risolvere una nuova variante del problema di protezione "File Fragment Reading via .htr" riscontrato in Internet Information Server (IIS) 4.0 con la funzionalità .htr abilitata e discusso nel Microsoft Security Bulletin MS01-004. Se si utilizza la funzionalità .htr, eseguendo il download si evita che utenti malintenzionati possano leggere parti di alcuni file del vostro server Web.
Il problema è dovuto al fatto che l'estensione ISAPI (Internet Services Application Programming Interface) che elabora i file .htr può essere utilizzata in modo non corretto per l'elaborazione sul lato server di file non .htr, quali file Active Server Pages (pagine ASP). Se un utente malintenzionato richiede un file dal server utilizzando uno specifico tipo di URL alterato, IIS potrebbe utilizzare l'estensione ISAPI per elaborare tale file, anche se non è un file .htr. Il filtro ISAPI cerca di interpretare il file richiesto come file .htr e, sebbene dal file venga rimosso tutto tranne il testo, parti del testo potrebbero venire restituite all'utente malintenzionato.
Il metodo consigliato per eliminare questo problema consiste nel disabilitare la funzionalità .htr in IIS. Se, invece, l'utente ha la necessità di continuare a utilizzare la funzionalità .htr, sarà necessario eseguire il download, anche se sono già stati installati precedenti aggiornamenti che fornivano protezione rispetto alle varianti discusse nei Microsoft Security Bulletin MS00-031 e MS00-044. (I siti sono in lingua inglese.)
Ai clienti che non hanno motivi particolari per utilizzare la funzionalità .htr e non hanno ancora disabilitato tale funzionalità Microsoft consiglia di disabilitare la funzionalità .htr piuttosto che eseguire il download di questo aggiornamento. (Per istruzioni su come disabilitare la funzionalità .htr, vedere la sezione Domande frequenti (FAQ) del Security Bulletin MS01-004).
Nota Questo aggiornamento è stato rivisto in data 2 febbraio 2001. Microsoft consiglia di installare questa versione dell'aggiornamento.
Per ulteriori informazioni, vedere il Microsoft Security Bulletin MS01-004. (Il sito è in lingua inglese.)