Bu güncelleştirme, .htr etkinleştirilmiş Internet Information Service (IIS) 5.0'da bulunan "File Fragment Reading via .htr" güvenlik boşluğu sorununun yeni bir çeşidini çözmektedir ve Microsoft Security Bulletin MS01-004'da tartışılmaktadır. .htr işlevselliğini kullanıyorsanız kötü niyetli bir kullanıcının Web sunucunuzdaki belirli dosyaların bazı kısımlarını okumasını önlemek için şimdi yükleyin.
Güvenlik boşluğu, .htr dosyalarını işleyen ISAPI (Internet Hizmetleri Uygulama Programlama Arabirimi) genişletmesi sunucu tarafındaki .htr olmayan dosyaları, örneğin Active Server Pages (ASP) sayfalarını işlemek için yanlış biçimde kullanılabildiği için oluşmaktadır. Kötü niyetli bir kullanıcı sunucudan belirli türde bozuk yapılı bir URL ile bir dosya isterde bu, IIS'nin dosya .htr olmasa bile dosyayı işlemek için ISAPI genişletmesini kullanmasına neden olmaktadır. ISAPI filtresi istenen dosyayı bir .htr dosyası olarak yorumlamayı denemekte ve dosyadan metin dışında herşeyi kaldırmasına karşın metnin bazı kısımları kötü niyetli kullanıcıya gönderilebilmektedir.
Bu güvenlik boşluğunu gidermenin önerilen yöntemi, IIS'deki .htr işlevselliğini devre dışı bırakmaktır. İşiniz açısından .htr işlevselliğini kullanmaya devam etmenizi gerektirecek önemli bir neden varsa Microsoft Security Bulletin'leri MS00-031 ve MS00-044'de tartışılan çeşitlerine karşı koruma sağlayan önceki güncelleştirmeleri kurmuş olsanız bile bu güncelleştirmeyi yüklemelisiniz. (Bu siteler İngilizce'dir.)
.htr işlevsilliğini kullanmak için bir nedenleri olmayan ve henüz .htr'yi devre dışı bırakmamış olan müşterilerimiz, güncelleştirmeyi yüklemek yerine önerimize uymalıdırlar. (.htr'yi devre dışı bırakma yönergeleri Security Bulletin MS01-004'ün Frequently Asked Questions bölümünde bulabilirler).
Not Bu güncelleştirme 2 Şubat 2001 tarihi itibariyle düzeltilmiştir. Microsoft güncelleştirmenin bu sürümünü kurmanızı önerir.
Bu güvenlik boşluğu hakkında daha fazla bilgi için lütfen Microsoft Security Bulletin MS01-004'ü okuyun. (Bu site İngilizce'dir.)