Denne oppdateringen løser sikkerhetsproblemet "File Permission Canonicalization" i Internet Information Server 4.0 (IIS 4.0) og Internet Information Services 5.0 (IIS 5.0). Ved å laste ned oppdateringen hindrer du at en bruker med vonde hensikter får tillatelse til å bruke ISAPI-filer (Internet Server Application Programming Interface) som ligger på en webserver. Dette problemet påvirker ikke statiske websider eller filer som ikke er webfiler, som EXE-, DOC- eller BAT-filer.
En autorisasjonsfeil kan under spesielle omstendigheter føre til at IIS 4.0 eller IIS 5.0 bruker feile tillatelser på spesielle filtyper. Hvis en påvirket fil ligger i en mappe med begrensede tillatelser, og filen blir forespurt via en bestemt type feil utformet URL-adresse, vil tillatelsene for en overordnet mappe bli brukt i stedet for tillatelsene for mappen der filen faktisk ligger. Hvis den overordnede mappen har mindre omfattende tilgangsbegrensninger enn den riktige mappen, kan en bruker med vonde hensikter få økte tilgangsrettigheter til den aktuelle filen. Dette problemet kan bare utnyttes under helt spesielle vilkår:
Du finner mer informasjon om dette problemet i Microsoft Security Bulletin MS00-057. (Dette webområdet er på engelsk.)