该更新程序解决了启用 .htr 的 Internet Information Service (IIS) 5.0 中新类型的“通过 .htr 读取文件碎片”安全性漏洞,在 Microsoft 安全公告 MS01-004 上也讨论了这个问题。如果您有 .htr 功能,立即下载以防止用心不良用户读取 Web 服务器上的某些文件的部分。
该漏洞存在是因为用来处理 .htr 文件的 ISAPI(Internet 服务应用程序编程接口)扩展可能在处理服务器方的非 .htr 文件(如 ASP 页)时使用不当。如果用心不良用户通过使用异常类型的 URL 从服务器请求一个文件,则将引起 IIS 使用 ISAPI 扩展处理该文件(即使该文件不是 .htr 文件)。ISAPI 过滤器试图将所请求的文件解释为 .htr 文件,虽然这将从文件中删除除文本以外的任何内容,但文本部分可以发送回用心不良的用户。
消除此漏洞的建议方法是在 IIS 中禁用 .htr 功能。如果是因为重要商务而要继续使用 .htr 功能,应该下载该更新程序,即使您已安装提供变种保护的先前更新程序,该先前更新程序在 Microsoft 安全公告 MS00-031 和 MS00-044 中讨论。(这两个都是英文站点。)
不需要使用 .htr 功能且还没用禁用 .htr 的用户,则应该下载此更新程序并禁用 .htr。(关于禁用 .htr 的指导,请参阅安全公告 MS01-004 的常见问题解答部分)。
注意 此更新程序从 2001 年 2 月 2 日起已经修改。Microsoft 建议您安装该版本的更新程序。
关于此漏洞的详细信息,请阅读 Microsoft 安全公告 MS01-004。 (英文站点)