Den här uppdateringen löser en ny variant av ett säkerhetsproblem i Internet Information Service (IIS) 5.0 med .htr aktiverat. Felet omnämndes i Microsoft Security Bulletin MS01-004. Hämta uppdateringen nu om du använder .htr och vill hindra obehöriga från att läsa delar av filerna på din webbserver.
Säkerhetsproblemet har uppstått på grund av att ISAPI (Internet Services Application Programming Interface) som bearbetar .htr-filerna används felaktigt vid bearbetningen av andra filer på serversidan, t.ex. ASP-sidor (Active Server Pages). En obehörig användare kan begära en fil från servern med hjälp av en särskild webbadress, vilket får IIS att starta ISAPI och börja bearbeta filen trots att det inte är en .htr-fil. ISAPI-filtret tolkar den begärda filen som en .htr-fil, tar bort allt utom texten i filen och skickar delar av den till användaren.
Vi rekommenderar att du avaktiverar .htr i IIS. Om du behöver .htr för att kunna bedriva affärsverksamhet bör du genast hämta uppdateringen, även om du sedan tidigare har installerat uppdateringar för detta problem (omnämndes i Microsoft Security Bulletin MS00-031 och MS00-044). (Webbplatserna är på engelska.)
Om du inte behöver använda .htr är det bättre att du avaktiverar .htr-funktionen än att du installerar uppdateringen. (Anvisningar för hur du avaktiverar .htr finns i avsnittet Frequently Asked Questions i Microsoft Security Bulletin MS01-004.)
Obs! Uppdateringen reviderades 2 februari 2001. Microsoft rekommenderar att du installerar denna version av uppdateringen.
Mer information om problemet finns i Microsoft Security Bulletin MS01-004. (Webbplatsen är på engelska.)