.htr dosyaları Windows 2000'da parola değiştirmek için kullanılabilen ve yöneticiler tarafından çeşitli parola yönetim işlevlerini yerine getirmek için kullanılan komut dizileridir. Bu güvenlik boşluklarının hiçbiri, sunucuda veri değiştirilmesine, eklenmesine veya silinmesine, ayrıca etkilenen bilgisayarda yönetimsel denetime izin vermemektedir.

Bu güncelleştirmede ele alınan iki güvenlik boşluğunun ayrıntıları:

• “Absent Directory Browser Argument” güvenlik boşluğu. IIS 3.0 ile birlikte yüklenen ve IIS 4.0 veya IIS 5.0'e yükseltmede korunan yönetimsel bir komut dizisi, beklenen bir bağımsız değişkenin bulunmadığı durumu doğru işlememektedir. Bağımsız değişken komut dizisinin sonsuz bir döngüye girmesine neden olmakta, bu noktada komut dizisi sunucudaki tüm CPU kaynaklarını tüketmektedir. Buna ek olarak bu ve ilgili birkaç diğer araç üzerindeki izinler, IIS 3.0'da uygun olmalarına karşın IIS 5.0'da uygun değildir. Bu durum, Web sitesini ziyaret edenlerin bu araçları kullanabilmesine, bu da sunucuda dizin yapısının görüntülenebilmesine izin vermektedir.
• “File Fragment Reading via .htr” güvenlik boşluğunun yeni bir türü. Bu güvenlik boşluğunun ilk sürümü Microsoft Security Bulletin MS00-031'de tartışılmıştı. (Bu site İngilizce'dir.) Yeni boşluk, yalnızca ondan yararlanılma biçimi yönünden farklıdır. Güvenlik boşluğunun etkisi, ilk sürümde olduğu gibi, .asp ve diğer dosyaların sunucudan alınabilmesi olasılığının bulunmasıdır. İlk sürümün olduğu gibi yenisinin çalışma biçimi de bir .asp dosyasının kötü niyetli bir kullanıcı için en ilgi çekici kısımlarının çıkarılabilmesini olası kılmaktadır.

Bu güvenlik boşlukları hakkında daha fazla bilgi için Microsoft Security Bulletin MS00-044'ü okuyun. (Bu site İngilizce'dir.)

1. Başlat'ı tıklatın, Ayarlar'ın üzerine gelin ve Denetim Masası'nı tıklatın.
2. Program Ekle/Kaldır'ı çift tıklatın.
3. Windows 2000 Hızlı Onarım [Daha fazla bilgi için bkz. Q267560] öğesini seçin, sonra kaldırmak için Değiştir/Kaldır'ı tıklatın.