此修正檔解決出現在啟動 .htr 的 Internet Information Server (IIS) 4.0 中,新的「透過 .htr 的檔案片段讀取」安全性問題,並在 Microsoft Security Bulletin MS01-004 中探討。如果您使用 .htr 功能,請立即下載以防止意圖不明的使用者讀取您 Web 伺服器上特定檔案的某些部份。
發生這個問題是因為不正確的使用處理 .htr 檔案的 ISAPI (Internet Services Application Programming Interface) 擴充程式來處理伺服器端 non-.htr 檔案,例如:動態伺服器網頁 (ASP 網頁)。如果意圖不明的使用者使用特別的異常 URL 類型向伺服器要求檔案,這會造成 IIS 使用 ISAPI 擴充程式來處理檔案,即使它不是 .htr 檔案。ISAPI 篩選器企圖解譯所要求的檔案為 .htr 檔案,縱使它會移除檔案中除了文字之外的所有內容,仍然可以送回文字部份給意圖不明的使用者。
解決此問題的建議方法是停用 IIS 中的 .htr 功能。如果您有商務上的考量要繼續使用 .htr 功能,您可以下載此修正檔,即使您已安裝前版的修正檔,提供對於在 Microsoft Security Bulletins MS00-031 及 MS00-044 (這些是英文網站) 中所探討問題的保護。
不需要使用 .htr 功能且尚未停用 .htr 的使用者應該停用它而不需下載此修正檔。(停用 .htr 的指示提供於 Security Bulletin MS01-004 的 Frequently Asked Questions。
注意:此修正檔已修訂為 2001 年 2 月 2 日。Microsoft 建議您安裝這個版本的修正檔。
有關此問題的詳細資訊,請參閱 Microsoft Security Bulletin MS01-004 (這是英文網站)。