此更新程序解决了随 Windows 2000 提供的 Internet Information Services (IIS) 5.0 中存在的“专用标头”漏洞。请立即下载这一更新程序,以防止恶意用户利用此漏洞并防止 Web 服务器向正在访问它的浏览器发送 .asp 或 .htr 文件的源代码。出于安全方面的考虑,建议不要将敏感信息放在 .asp 或 .htr 文件中。
IIS 支持诸如 .asp 和 .htr 文件这样的高级文件类型,这些类型的文件由服务器上的脚本撰写引擎执行,并且不像 .htm 文件那样被发送到浏览器。IIS 通过检查文件扩展名来确定所使用的脚本撰写引擎。恶意用户可以通过在访问网站时向该网站的 URL 的末尾添加特定字符,请求访问该站点中更深层的文件。IIS 会准确地找到该高级文件,但不将其视为需要脚本撰写引擎处理的文件。结果,IIS 就像发送 .htm 文件一样将该文件发送到浏览器,从而也就暴露了该文件的源代码。
有关这一漏洞的详细信息,请参阅 Microsoft 安全公告 MS00-058(英文站点)。