Fragen? Antworten! Siehe auch: Alternativlos
IIS hat eine Kernelkomponente, weil Microsoft ohne so zu Bescheißen nicht in der Lage war, in Benchmarks mit Linux zu konkurrieren. Es war so schlimm, dass Samba unter Linux schon rein im Userspace schneller war als ein Windows, das SMB komplett im Kernel macht. Vor diesem Hintergrund muss man das als Verzweiflungstat sehen.
Übrigens gab es auch unter Linux mal Versuche, einen Webserver direkt im Kernel zu implementieren, das war aber nie mehr als ein Experiment.
Microsoft hat damals die IIS-Benchmarks offensiv als Argument gegen Linux und Apache verwendet. Wir reden hier von Ende der 90er, da war der Kampf gegen Linux noch voll im Gange. Heute stellt Microsoft selber Software unter MIT-Lizenz für Linux her. Das war damals völlig undenkbar.
Das spannende an diesem Bug ist, dass http.sys immer einen relativ guten Ruf hatte, geradezu als sicher galt, weil es da so selten irgendwelche Probleme gab. Aber so ist das halt manchmal im Leben. Es dauert ein bisschen, bis man die Rechnung für Jugendsünden kriegt.
Update: Falls sich jetzt der Eindruck einstellt, dass nur IIS http.sys einsetzt, dann stimmt das nicht. Es gibt auch andere Software, die das tut, etwa von Citrix. Die haben den Bug auch gemeldet.