此更新程序解决了在 Internet Information Server 4.0 (IIS 4.0) 和 Internet Information Services 5.0 (IIS 5.0) 中出现的“文件权限规范化”安全漏洞。请立即下载此更新程序，以防止恶意用户获得使用在 Web 服务器上托管的 Internet 服务器应用程序编程接口 (ISAPI) 文件的权限。该漏洞不会影响静态网页或者非 Web 文件类型，例如 .exe、.doc 或 .bat 文件。

在某些条件下，规范化错误可能造成 IIS 4.0 或 IIS 5.0 将不正确的权限赋予某些文件类型。如果受影响的文件存在于一个具有有限权限的文件夹中，而且该文件是通过特殊类型的错误格式的 URL 请求的，则实际使用的权限将是文件的上级文件夹链中的某一个文件夹的权限，而不是文件实际存在于其中的那一文件夹的权限。如果该上级文件夹的权限比正确的文件夹的权限更广，则恶意的用户就可以获得有关受影响文件的额外权限。该漏洞只在非常特定的条件下才可被利用：

• 它只影响通过 ISAPI 扩展实施的 CGI 脚本和文件类型。它不影响静态网页或非 Web 文件类型，例如 .exe、.doc 或 .bat 文件。
• 它只影响这样的服务器，此类服务器展示映射服务器上物理文件夹结构的 Web 文件夹结构。
• 它不允许选择任意权限，而只允许选择某个上级文件夹提供的权限。
• 它没有提供对服务器进行枚举并确定可能受漏洞影响的文件的位置的途径。

有关这一安全漏洞的详细信息，请阅读 Microsoft 安全公告 MS00-057（英文站点）。

• Windows 2000 Professional
• Windows 2000 Server
• Windows 2000 Advanced Server
• Internet Information Server 4.0
• Internet Information Services 5.0

1. 单击“开始”，指向“设置”，然后单击“控制面板”。
2. 双击“添加/删除程序”。
3. 选择“Windows 2000 Hotfix (Pre-SP2)”[有关详细信息，请参阅 Q269862]，然后单击“更改/删除”进行卸载。