この修正プログラムによって、.htr ファイルを有効にした Internet Information Service (以下 IIS) 5.0 に存在する「.htr 経由のファイル フラグメントの読み取り」という脆弱性 (セキュリティ番号 MS01-004) が修正されます。今すぐダウンロードして、.htr の機能を使用する場合に、悪意のあるユーザーが Web サーバー上のファイルの一部を読み取ることができないようにしてください。
この脆弱性は、.htr ファイルを処理する Internet Services Application Programming Interface (以下 ISAPI) 拡張が、Active Server Pages (以下 ASP) など、サーバーサイドの .htr ファイルの処理に不正に使用されることが原因です。悪意のあるユーザーが特殊な形式の不正な URL を使用してサーバーからファイルを要求すると、IIS では、そのファイルが .htr ファイルでなくても、ISAPI 拡張を使用してファイルを処理します。ISAPI フィルタは、要求されたファイルを .htr ファイルと解釈し、ファイルからテキスト以外のすべての要素を事実上削除しますが、テキストの一部は悪意のあるユーザーに返送されます。
この脆弱性を排除するには、IIS の .htr 機能を無効にすることをお勧めします。ビジネスの都合上、.htr 機能の使用を継続する場合は、この修正プログラムをダウンロードしてください。セキュリティ情報の MS00-031 と MS00-044 に対する修正プログラムをインストールしている場合でも、この修正プログラムをダウンロードする必要があります。
.htr 機能を使用する必要がなく、.htr を無効にしていない場合は、この修正プログラムをダウンロードするよりも、.htr を無効にすることをお勧めします。.htr を無効にする方法については、セキュリティ情報 MS01-004 の「よく寄せられる質問」を参照してください。
注 この修正プログラムは、2001 年 2 月 2 日に改訂されました。このバージョンの修正プログラムをインストールすることをお勧めします。
この脆弱性の詳細については、セキュリティ情報の MS01-004 を参照してください。