De htr-bestanden zijn scripts die kunnen worden gebruikt om wachtwoorden te wijzigen in Windows 2000. Beheerders kunnen deze scripts gebruiken voor uiteenlopende taken bij wachtwoordbeheer. Door deze problemen kunnen geen gegevens worden gewijzigd, toegevoegd of verwijderd op de server. Ook krijgen kwaadwillende gebruikers geen beheerdersrechten over de betreffende computer.

Meer informatie over de twee problemen die deze update verhelpt:

• Het probleem “Absent Directory Browser Argument”. Een beheerdersscript dat is geïnstalleerd als onderdeel van IIS 3.0 en dat is behouden na een upgrade naar IIS 4.0 of IIS 5.0. Dit script werkt niet correct als er een verwacht argument ontbreekt. Het script komt in een oneindige lus door de afwezigheid van het argument. Hierdoor worden alle CPU-bronnen op de server in beslag genomen door het script. Bovendien zijn de toegangsrechten voor dit programma en diverse aanverwante programma's die correct waren voor IIS 3.0, niet correct voor IIS 5.0. Mogelijk kunnen bezoekers van de website die deze programma's gebruiken, de directorystructuur van de server weergeven.
• Een nieuwe variant van het probleem “File Fragment Reading via .htr”. De oorspronkelijk versie van dit probleem wordt besproken in het Microsoft-beveiligingsbulletin MS00-031. (Deze site is in het Engels.) Het nieuwe probleem onderscheidt zich alleen in de manier waarop het kan worden gebruikt. Net als bij de eerste versie, kunnen mogelijk delen van asp-bestanden en andere bestanden worden opgehaald van de server. Ook bij de nieuwe variant worden de delen die mogelijk interessant zijn voor een kwaadwillende gebruiker, uit het bestand gehaald.

Raadpleeg het Microsoft-beveiligingsbulletin MS00-044 voor meer informatie over deze problemen. (Deze site is in het Engels.)

1. Klik op Start en kies Instellingen en Configuratiescherm.
2. Dubbelklik op Software.
3. Selecteer Windows 2000 Hotfix [zie Q267560 voor meer informatie] en klik op Wijzigen/Verwijderen.