Esta actualização vai corrigir a vulnerabilidade de segurança existente no Internet Information Server 4.0 (IIS 4.0) e Internet Information Services 5.0 (IIS 5.0) devida à canonização da permissão de ficheiros. Faça já a transferência desta actualização para impedir que um utilizador mal intencionado fique autorizado a utilizar os ficheiros do Internet Server Application Programming Interface (ISAPI) existentes no servidor Web. Esta vulnerabilidade não afecta páginas Web estáticas nem ficheiros do tipo .exe, .doc ou .bat.
Um erro de canonização pode, em certas condições, fazer com que o IIS 4.0 ou o IIS 5.0 aplique permissões incorrectas a determinados tipos de ficheiros. Se um ficheiro afectado residir numa pasta com permissões restritivas e esse ficheiro for pedido através de um determinado tipo de URL pernicioso, as permissões que serão usadas são as de uma pasta ascendente na árvore onde esse ficheiro se encontra e não as da pasta em que ele está guardado. Se as permissões dessa pasta ascendente forem mais permissivas do que as da pasta em que o ficheiro reside, um utilizador mal intencionado pode ficar com privilégios adicionais para o ficheiro afectado. A vulnerabilidade pode ser explorada apenas em determinadas condições muito específicas:
Para mais informações sobre esta vulnerabilidade, consulte o boletim de segurança da Microsoft MS00-057. (Este site encontra-se em inglês.)