Microsoft heeft deze week een patch gelanceerd die het veiligheidsprobleem moet oplossen. De patch is geschikt voor IIS versie 4.0 (Service Pack 5 en hoger) en versie 5.0 en lost meteen ook problemen op die optraden bij het installeren van eerdere patches.De nieuwste patch, die beschikbaar is via Microsofts TechNet site, lost drie problemen op in de IIS software. Allereerst lost de patch het probleem op dat een aanvaller in staat kan zijn het systeem binnen te dringen door een bepaald commando (bijvoorbeeld het verzoek om een script uit te voeren) naar de server te sturen. Door het veiligheidsprobleem kan de aanvaller zijn verzoek langs de veiligheidsmaatregelen loodsen en is hij vervolgens in staat exe-bestanden uit te voeren op het systeem. Een tweede probleem betreft een FTP DoS-aanval. Zo'n aanval kan er voor zorgen dat het programma een tekort aan geheugen krijgt en vervolgens vastloopt. Het derde veiligheidslek heeft ook te maken met de FTP functie. Een aanvaller kan via de FTP service op zoek gaan naar 'guest'-accounts die open staan en op die manier het systeem binnendringen. Dit laatste probleem schijnt vooralsnog voor de minste problemen te zorgen.Behalve deze drie problemen, lost de meest recente patch ook problemen op die ontstonden nadat systeembeheerders eerdere patches (uit augustus 2000 en maart 2001) uitgevoerd hadden. De patch van augustus 2000 (MS00-060) kon tot gevolg hebben dat een aanvaller het systeem kon vertragen. De twee patches van maart 2001 (MS01-014 en MS01-016) openen de mogelijkheden voor een aanvaller om een DoS-aanval uit te voeren.De patch die Microsoft deze week heeft uitgebracht is de derde op rij binnen een maand. Twee eerdere veiligheidsproblemen hadden betrekking op Windows 2000 server software en IIS 5.0. Een aanvaller is in staat om het complete systeem over te nemen of een DoS-aanval uit te voeren als de patches niet geïnstalleerd worden. Op de TechNet pagina van Microsoft is gedetailleerde informatie te vinden over de veiligheidsproblemen.