Deze patch verwijdert een beveiligingslek in Microsoft Internet Information Service. Het beveiligingslek kan een aanvaller in staat stellen, onder zeer bijzondere omstandigheden, om fragmenten van bestanden gelezen van een webserver.
Deze kwetsbaarheid brengt een nieuwe variant van de "File Fragment lezen via .htr" kwetsbaarheid. Net als de originele varianten, kan deze een aanvaller in staat stellen een dossier in een manier die zou veroorzaken dat het wordt verwerkt door de HTR ISAPI extensie. Het resultaat hiervan is dat fragmenten van server-side bestanden zoals ASP-bestanden mogelijk om de aanvaller kan worden verzonden. Er is geen mogelijkheid via de kwetsbaarheid om bestanden toevoegen, wijzigen of verwijderen op de server, of de toegang tot een bestand zonder rechten.
Klanten die eerder hebt uitgeschakeld de HTR-functionaliteit niet zou worden getroffen door dit beveiligingslek. Microsoft raadt alle klanten die niet al uitgeschakeld HTR doen, tenzij er sprake is van een bedrijfskritische reden voor het houden van het. Veelgestelde vragen over dit beveiligingslek kan hier gevonden worden.
Eisen
Windows NT, Microsoft Internet Information Server 4.0
Reacties niet gevonden