Met deze update verhelpt u een nieuwe variant van het beveiligingsprobleem "File Fragment Reading via .htr" (Engels) dat optreedt in Internet Information Services (IIS) 5.0 met een actieve htr-functie. Deze update wordt besproken in het Microsoft-beveiligingsbulletin MS01-004. Download deze update nu als u de htr-functie gebruikt, om te voorkomen dat een kwaadwillende gebruiker delen van bepaalde bestanden op uw webserver kan lezen.
Dit probleem treedt op omdat de ISAPI-extensie (Internet Services Application Programming Interface) waarmee htr-bestanden worden verwerkt, onjuist kan worden gebruikt om niet-htr-bestanden van de server te verwerken, zoals ASP-pagina's (Active Server Pages). Als een kwaadwillende gebruiker een bestand van de server aanvraagt via een bepaald type URL met een verkeerde vorm, kan dit ervoor zorgen dat IIS de ISAPI-extensie gebruikt om het bestand te verwerken, zelfs als dit geen htr-bestand is. Het ISAPI-filter probeert het aangevraagde bestand te interpreteren als een htr-bestand. Hoewel met uitzondering van tekst bijna alles uit het bestand wordt verwijderd, kunnen er delen van de tekst wordt teruggestuurd naar de kwaadwillende gebruiker.
De aanbevolen methode om dit probleem op te lossen is de htr-functie in IIS uit te schakelen. Als u voor bedrijfsdoeleinden de htr-functie absoluut moet blijven gebruiken, moet u deze update downloaden, zelfs als u al eerdere updates hebt geïnstalleerd die beveiliging bieden tegen de varianten die worden besproken in de Microsoft-beveiligingsbulletins MS00-031 en MS00-044. (Deze sites zijn in het Engels.)
Klanten die geen reden hebben om de htr-functie te gebruiken en deze functie nog niet hebben uitgeschakeld, kunnen dit beter doen dan deze update downloaden. U kunt instructies voor het uitschakelen van de htr-functie vinden in het gedeelte Frequently Asked Questions van beveiligingsbulletin MS01-004.
Opmerking Deze update is herzien op 2 februari 2001. Microsoft raadt u aan deze versie van de update te installeren.
Raadpleeg het Microsoft-beveiligingsbulletin MS01-004 voor meer informatie over dit probleem. (Deze site is in het Engels.)