In de rubriek `Security' op zijn website laat de softwareus uit Redmond weten dat ook zijn Internet Information Server (IIS), een component van Windows NT, in sommige gevallen de broncode blootgeeft van scripts die normaal verborgen staan op een HTML-pagina. Zulke scripts zorgen voor de overdracht van gebruikersnamen en wachtwoorden op een webserver. De bug werd eerder deze week ontdekt (zie Het web lekt weer en Zo lek als een zeef) en noopte verschillende producenten van webservers tot maatregelen. Om `::$DATA', zoals de bug nu wordt genoemd, te bestrijden heeft Microsoft een hot fix uitgebracht voor versie 3.0 van de Internet Information Server. Gebruikers van IIS 4.0 wordt uitgelegd hoe ze zelf kunnen voorkomen dat gebruikers `verborgen' scripts tevoorschijn kunnen toveren. Microsoft zal de reparatie van de ::$DATA-bug opnemen in Service Pack 4 voor Windows NT 4.0. Die wordt niet voor de herfst verwacht. Microsoft spreekt tegen dat het vrij eenvoudig zou zijn om de broncode van scripts op een IIS-server te bekijken. Een hacker zou daar volgens de website BugNet alleen een commando hoeven toe te voegen aan een HTML-pagina. Volgens een zegsman in Redmon moet de indringer over de naam van het bestand beschikken en ook de mogelijkheid hebben om een pagina aan te passen. De beveiliging hangt dus grotendeels af van de wijze waarop beheerders hun servers configureren. Overigens doet in nieuwsgroepen voor hackers het bericht de ronde dat de server waarop Microsoft zijn homepage heeft staan kwetsbaar zou zijn voor de ::$DATA-bug. Deze IIS-server bevat tal van Active Server Pages (ASP), geschreven in de scripttaal van Microsoft voor webservers.