MS02-058: OLEXP: ein ungeprüfter Puffer in Outlook Express S/MIME-Analyse kann Systemgefährdung ermöglichen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 328676
Dieser Artikel wurde archiviert. Er wird im vorliegenden Zustand bereitgestellt und nicht mehr aktualisiert.
Weitere Informationen zu den Unterschieden zwischen Microsoft Outlook und Microsoft Outlook Express e-Mail-Clients klicken Sie auf die folgende Artikelnummer, um den Artikel der Microsoft Knowledge Base anzuzeigen:
257824 OL2000: Unterschiede zwischen Outlook und Outlook Express
Alles erweitern | Alles schließen

Auf dieser Seite

Problembeschreibung

Um Outlook Express zum Überprüfen der Authentizität von e-Mail-Nachrichten zu ermöglichen, unterstützt Outlook Express digitale Signieren von Nachrichten mit Secure/Multipurpose Internet Mail Extension (S/MIME). Der Code, der eine Warnmeldung generiert, wenn eine bestimmte Fehlerbedingung auftritt enthält, liegt ein Pufferüberlauf vor. Diese Fehlerbedingung hängt mit digitalen Signaturen.

Wenn ein Angreifer eine digital signierte e-Mail-Nachricht erstellt, bearbeitet, um bestimmte Daten hinzufügt und anschließend an einen anderen Benutzer sendet, kann der Angreifer bewirken, dass einer der folgenden Effekte auftritt, wenn der Empfänger öffnet oder eine die e-Mail-Nachricht Vorschau:
  • In weniger schwerwiegenden Fällen kann der Angreifer bewirken, dass der Mailclient zu reagieren. Wenn dieses Problem auftritt, der Empfänger Restartthe-Mail-Client, und löschen Sie unerwünschte Nachrichten zum Ordinaryoperation fortsetzen.
  • In schwerwiegenderen Fällen kann der Angreifer bewirken, dass der Mailclient Code des Angreifers auf dem Computer des Benutzers ausgeführt. Solche Codecan Aktionen, die Vorgabe des Angreifers nur durch die Berechtigungen des Empfängers auf dem Computer begrenzt.
Diese Sicherheitsanfälligkeit betrifft nur Nachrichten, die mit S/MIME signiert und an ein Outlook Express-Benutzer gesendet werden. Microsoft Outlook-Benutzer sind von dieser Sicherheitsanfälligkeit nicht betroffen.

Lösung

Outlook Express 6.0

Der Patch für diese Sicherheitsanfälligkeit ist im Lieferumfang von Microsoft Internet Explorer Version 6 Service Pack 1 (SP1) und Microsoft Windows XP SP1. Weitere Informationen finden Sie in den nachstehenden Artikeln der Microsoft Knowledge Base:
328548 So erhalten Sie das neueste Servicepack für InternetExplorer 6
322389 Wie Sie das neueste Windows XP Service Pack erhalten

Informationen zum Download einzelner Patches

Die folgende Datei steht im Microsoft Download Center als Download zur Verfügung:

Bild minimierenBild vergrößern
Herunterladen
Paket Q328676 jetzt downloaden
Datum der Freigabe: 10. Oktober 2002

Weitere Informationen dazu, wie Sie Microsoft Support-Dateien herunterzuladen, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft verwendete die aktuellste Virenerkennungssoftware, die am Tag der Veröffentlichung der Datei zur Verfügung stand. Die Datei wird auf Servern mit verstärkter Sicherheit gespeichert, um alle nicht autorisierten Änderungen an der Datei zu verhindern.

Informationen zur Installation

Dieser Patch unterstützt die folgenden Setup-Optionen:
  • q/q - gibt den stillen Modus (mit anderen Worten, unterdrückt Eingabeaufforderungen) Whenfiles extrahiert werden.
  • stillen/q: u - gibt den stillen Modus, der dem Benutzer einige Dialogfelder angezeigt.
  • /q: ein -Gibt stillen Modus, der Anydialog Felder nicht für den Benutzer angezeigt werden.
  • / t:Pfad -Gibt den Zielordner für das Extrahieren von Dateien.
  • c/c - extrahiert die Dateien, ohne sie zu installieren.
  • / c:Pfad -Gibt den Pfad und Namen der INF-Installation oder .exefile.
  • r/r: n - den Computer wird nach der Installation niemals neu gestartet.
  • i/r: i - Neustart des Computers aus, wenn ein Neustart erforderlich ist. Der Computer ist ein Neustart erforderlich, um die vollständige Installation Automaticallyrestarts.
  • /r: eine -den Computer wird nach der Installation immer neu gestartet.
  • r/r: s - startet den Computer nach der Installation ohne Promptingthe Benutzer.
  • v/n: v - keine Versionsprüfung. Das Programm wird über jede Previousversion installiert.
Verwenden Sie beispielsweise die folgende Befehlszeile zum Installieren des Updates ohne Eingriff des Benutzers und ohne anschließenden Neustart des Computers:
Q328676/q: u/r: n

Dateiinformationen

Die englische Version dieses Updates besitzt die Dateiattribute (oder höher), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, wird es in die lokale Ortszeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln
   Date          Time    Version         Size        File name     
   ----------------------------------------------------------
   30-AUG-2002   18:16   6.0.2720.3000   1,175,040   Msoe.dll
				
Hinweis: aufgrund von Dateiabhängigkeiten kann dieses Update weitere Dateien enthalten.

Outlook Express 5.5

Ein unterstütztes Update ist inzwischen von Microsoft erhältlich, aber es sollte nur zur Behebung des Problems, das in diesem Artikel beschrieben wird, benutzt werden.. Wenden sie nur auf Computern, auf denen Sie feststellen von Angriffen bedroht sind. Bewerten Sie Ihren Computer hinsichtlich physischer Verfügbarkeit, Netzwerk- und Internetverbindungen und weiterer Faktoren, um den Grad der Gefahr für Ihren Computer zu ermitteln. Finden Sie das zugeordnete Microsoft Security Bulletin um zu bestimmen, welche Risiken. Dieses Update wird möglicherweise zu einem späteren Zeitpunkt weiteren Tests unterzogen. Wenn Ihr Computer ausreichend gefährdet ist, empfiehlt Microsoft, dass Sie dieses Update sofort anzuwenden. Warten Sie andernfalls auf das nächste Internet Explorer 5.5 Servicepack, das dieses Update enthält.

Um dieses Problem sofort beheben möchten, laden Sie das Update gemäß die Anweisungen in diesem Artikel, oder wenden Sie sich an Microsoft Product Support Services, um das Update zu erhalten. Eine vollständige Liste der Telefonnummern des Microsoft Product Support Services und Informationen über Supportkosten finden Sie auf der folgenden Microsoft-Website:
http://support.microsoft.com/contactus/?ws=support
Hinweis: In besonderen Fällen können Gebühren, die normalerweise für Support-Anrufe anfallen, aufgehoben werden, wenn der Microsoft-Supportmitarbeiter feststellt, dass ein bestimmtes Update Ihr Problem beheben kann. Die normalen Supportkosten gelten für zusätzliche Supportfragen und Probleme, die für das betreffende Update nicht qualifizieren.

Informationen zum Download

Die folgende Datei steht im Microsoft Download Center als Download zur Verfügung:
Bild minimierenBild vergrößern
Herunterladen
Paket Q328389 jetzt downloaden
Datum der Freigabe: 10. Oktober 2002

Weitere Informationen dazu, wie Sie Microsoft Support-Dateien herunterzuladen, klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft verwendete die aktuellste Virenerkennungssoftware, die am Tag der Veröffentlichung der Datei zur Verfügung stand. Die Datei wird auf sicheren Servern gespeichert, die nicht autorisierten Änderungen an der Datei verhindert.

Informationen zur Installation

Dieser Patch erfordert Internet Explorer 5.5 Service Pack 2 (SP2). Weitere Informationen finden Sie in folgendem Artikel der Microsoft Knowledge Base:
276369 So erhalten Sie das neueste Servicepack für InternetExplorer 5.5
Dieser Patch unterstützt die folgenden Setup-Optionen:
  • q/q - gibt den stillen Modus (mit anderen Worten, unterdrückt Eingabeaufforderungen) Whenfiles extrahiert werden.
  • stillen/q: u - gibt den stillen Modus, der dem Benutzer einige Dialogfelder angezeigt.
  • /q: ein -Gibt stillen Modus, der Anydialog Felder nicht für den Benutzer angezeigt werden.
  • / t:Pfad -Gibt den Zielordner für das Extrahieren von Dateien.
  • c/c - extrahiert die Dateien, ohne sie zu installieren.
  • / c:Pfad -Gibt den Pfad und Namen der INF-Installation oder .exefile.
  • r/r: n - den Computer wird nach der Installation niemals neu gestartet.
  • i/r: i - Neustart des Computers aus, wenn ein Neustart erforderlich ist. Der Computer ist ein Neustart erforderlich, um die vollständige Installation Automaticallyrestarts.
  • /r: eine -den Computer wird nach der Installation immer neu gestartet.
  • r/r: s - startet den Computer nach der Installation ohne Promptingthe Benutzer.
  • v/n: v - keine Versionsprüfung. Das Programm wird über jede Previousversion installiert.
Verwenden Sie beispielsweise die folgende Befehlszeile zum Installieren des Updates ohne Eingriff des Benutzers und ohne anschließenden Neustart des Computers:
328389/q: u/r: n

Dateiinformationen

Die englische Version dieses Updates besitzt die Dateiattribute (oder höher), die in der folgenden Tabelle aufgelistet sind. Die Datums- und Uhrzeitangaben für diese Dateien sind in Coordinated Universal Time (UTC) aufgelistet. Wenn Sie die Dateiinformationen anzeigen, wird es in die lokale Ortszeit konvertiert. Die Abweichung zwischen UTC-Zeit und lokaler Zeit können Sie im Systemsteuerungsprogramm Datum/Uhrzeit mithilfe der Registerkarte Zeitzone ermitteln
   Date          Time    Version          Size        File name     
   ---------------------------------------------------------------
   13-SEP-2002   20:33   5.50.4920.2300     571,152   Inetcomm.dll
   13-SEP-2002   20:34   5.50.4920.2300   1,146,640   Msoe.dll
				
Hinweis: aufgrund von Dateiabhängigkeiten kann dieses Update weitere Dateien enthalten.

Status

Microsoft hat bestätigt, dass dieses Problem in gewissem Umfang zu einer Sicherheitsanfälligkeit in Microsoft-Produkten führen kann, die zu Beginn dieses Artikels aufgeführt sind.

Weitere Informationen

Weitere Informationen zu dieser Anfälligkeit finden Sie auf der folgenden Microsoft-Website:
http://www.Microsoft.com/TechNet/Security/Bulletin/MS02-058.mspx
Weitere Informationen zu diesem Patch klicken Sie auf die nachstehende Artikelnummer klicken, um den Artikel der Microsoft Knowledge Base anzuzeigen:
328389 OLEXP: Outlook Express 5.5 Rollup

Eigenschaften

Artikel-ID: 328676 - Geändert am: Montag, 24. Februar 2014 - Version: 5.0
Keywords: 
kbnosurvey kbarchive atdownload kbbug kbfix kbie600presp1fix kbsecbulletin kbsecurity kbsecvulnerability kbwinxpsp1fix kbie600sp1fix kbmt KB328676 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell übersetzt und wird dann möglicherweise mithilfe des Community Translation Framework (CTF) von Mitgliedern unserer Microsoft Community nachbearbeitet. Weitere Informationen zu CTF finden Sie unter http://support.microsoft.com/gp/machine-translation-corrections/de.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 328676
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com