MS02-058: OLEXP: Ένα μη ελεγμένο buffer στην ανάλυση S/MIME του Outlook Express ενδέχεται να επιτρέπει παραβίαση του συστήματος (GR328676)

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 328676 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Αυτό το άρθρο, στο παρελθόν ήταν δημοσιευμένο με αριθμό GR328676
Αυτό το αρχείο έχει αρχειοθετηθεί. Προσφέρεται “ως έχει” και δεν θα ενημερώνεται πια.
Για πληροφορίες σχετικά με τις διαφορές μεταξύ των προγραμμάτων-πελατών ηλεκτρονικού ταχυδρομείου του Microsoft Outlook Express και του Microsoft Outlook, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
257824 OL2000: Διαφορές μεταξύ Outlook και Outlook Express
Ανάπτυξη όλων | Σύμπτυξη όλων

Σε αυτήν τη σελίδα

Συμπτώματα

Το Outlook Express, προκειμένου να επαληθεύει την αυθεντικότητα μηνυμάτων αλληλογραφίας, υποστηρίζει την ψηφιακή υπογραφή μηνυμάτων χρησιμοποιώντας το πρωτόκολλο S/MIME (Secure/Multipurpose Internet Mail Extension). Ο κώδικας που δημιουργεί ένα προειδοποιητικό μήνυμα, όταν υπάρχει μια συγκεκριμένη συνθήκη λάθους, περιέχει ένα ζήτημα ευπάθειας υπέρβασης buffer. Αυτή η συνθήκη λάθους σχετίζεται με τις ψηφιακές υπογραφές.

Αν ένας εισβολέας δημιουργήσει ένα μήνυμα ηλεκτρονικού ταχυδρομείου με ψηφιακή υπογραφή, το επεξεργαστεί για να εισαγάγει συγκεκριμένα δεδομένα και στη συνέχεια το αποστείλει σε κάποιον άλλο χρήστη, ο εισβολέας ενδέχεται να προκαλέσει την εμφάνιση μίας από τις εξής δύο καταστάσεις που θα εμφανιστούν όταν ο παραλήπτης ανοίξει ή κάνει προεπισκόπηση του μηνύματος:
  • Στη λιγότερο σοβαρή περίπτωση, ο εισβολέας ενδέχεται να προκαλέσει τη διακοπή ανταπόκρισης του προγράμματος-πελάτη ηλεκτρονικού ταχυδρομείου. Αν συμβεί αυτό, ο παραλήπτης μπορεί να ξεκινήσει πάλι το πρόγραμμα-πελάτη ηλεκτρονικού ταχυδρομείου και στη συνέχεια να διαγράψει το επιβλαβές μήνυμα, προκειμένου να συνεχιστεί η κανονική λειτουργία του προγράμματος-πελάτη.
  • Στη σοβαρότερη περίπτωση, ο εισβολέας ενδέχεται να επιβάλει στο πρόγραμμα-πελάτη να εκτελέσει κώδικα της επιλογής του εισβολέα στον υπολογιστή του παραλήπτη. Ένας τέτοιος κώδικας μπορεί να πραγματοποιήσει οποιαδήποτε ενέργεια επιθυμεί ο εισβολέας, η οποία περιορίζεται μόνο από τα δικαιώματα του παραλήπτη στον υπολογιστή.
Αυτό το θέμα ευπάθειας επηρεάζει μόνο τα μηνύματα που είναι υπογεγραμμένα με χρήση του πρωτοκόλλου S/MIME και που αποστέλλονται σε κάποιο χρήστη του Outlook Express. Οι χρήστες του Microsoft Outlook δεν επηρεάζονται από αυτό το θέμα ευπάθειας.

Προτεινόμενη αντιμετώπιση

Αυτή η ενότητα περιέχει λύσεις για τις εξής εκδόσεις του Outlook Express:

Outlook Express 6.0



Η ενημερωμένη έκδοση κώδικα για αυτό το θέμα ευπάθειας περιλαμβάνεται στο Service Pack 1 (SP1) του Microsoft Internet Explorer έκδοση 6 και στο SP1 των Microsoft Windows XP. Για πρόσθετες πληροφορίες, κάντε κλικ στους αριθμούς των άρθρων παρακάτω, για να προβάλετε τα άρθρα της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
328548 Τρόπος απόκτησης του τελευταίου Service Pack για τον Internet Explorer 6
322389 Τρόπος λήψης του τελευταίου Service Pack των Windows XP

Πληροφορίες λήψης για κάθε ενημερωμένη έκδοση κώδικα ξεχωριστά

Το ακόλουθο αρχείο είναι διαθέσιμο προς λήψη από το Κέντρο λήψης της Microsoft (Microsoft Download Center):

Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Λήψη
Κάντε λήψη του πακέτου Q328676 τώρα
Ημερομηνία έκδοσης: 10 Οκτωβρίου 2002

Για πρόσθετες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
119591 Τρόπος απόκτησης αρχείων υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίες
Η Microsoft εξέτασε αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο κατά την ημερομηνία δημοσίευσης αυτού του αρχείου. Το αρχείο φυλάσσεται σε ασφαλείς διακομιστές οι οποίοι δεν επιτρέπουν μη εξουσιοδοτημένες αλλαγές στο αρχείο.

Πληροφορίες εγκατάστασης

Αυτή η ενημερωμένη έκδοση κώδικα υποστηρίζει τους εξής διακόπτες του προγράμματος Εγκατάστασης (Setup):
  • /q - Καθορίζει εγκατάσταση χωρίς μηνύματα (δηλαδή, δεν εμφανίζει μηνύματα στο χρήστη) κατά την εξαγωγή των αρχείων.
  • /q:u - Καθορίζει εγκατάσταση χωρίς μηνύματα χρήστη, κατά την οποία εμφανίζονται ορισμένα παράθυρα διαλόγου στο χρήστη.
  • /q:a - Καθορίζει εγκατάσταση χωρίς μηνύματα διαχειριστή, κατά την οποία δεν εμφανίζεται κανένα παράθυρο διαλόγου στο χρήστη.
  • /t: διαδρομή - Καθορίζει το φάκελο προορισμού για την εξαγωγή αρχείων.
  • /c - Εξάγει τα αρχεία χωρίς να τα εγκαθιστά.
  • /c: διαδρομή - Καθορίζει τη διαδρομή και το όνομα για το αρχείο Setup .inf ή .exe.
  • /r:n - Δεν πραγματοποιεί ποτέ επανεκκίνηση του υπολογιστή έπειτα από μια εγκατάσταση.
  • /r:i - Πραγματοποιεί επανεκκίνηση του υπολογιστή, αν απαιτείται. Πραγματοποιεί αυτόματη επανεκκίνηση του υπολογιστή, αν απαιτείται επανεκκίνηση για την ολοκλήρωση της εγκατάστασης.
  • /r:a - Πραγματοποιεί πάντοτε επανεκκίνηση του υπολογιστή έπειτα από μια εγκατάσταση.
  • /r:s - Πραγματοποιεί επανεκκίνηση του υπολογιστή έπειτα από μια εγκατάσταση χωρίς να ζητά την έγκριση του χρήστη.
  • /n:v - Χωρίς έλεγχο έκδοσης. Εγκαθιστά το πρόγραμμα αντικαθιστώντας κάθε προηγούμενη έκδοση.
Για παράδειγμα, χρησιμοποιήστε την εξής γραμμή εντολών, για να εγκαταστήσετε την ενημερωμένη έκδοση χωρίς την παρέμβαση του χρήστη και χωρίς να εξαναγκάσετε τον υπολογιστή σε επανεκκίνηση:
q328676 /q:u /r:n

Πληροφορίες αρχείου

Η αγγλική έκδοση αυτής της ενημέρωσης κώδικα έχει τα χαρακτηριστικά αρχείου (ή νεότερα) που αναφέρονται στον παρακάτω πίνακα. Οι ημερομηνίες και οι ώρες για τα αρχεία αυτά αναφέρονται σε παγκόσμια ώρα (UTC). Όταν προβάλλετε τις πληροφορίες του αρχείου, αυτές μετατρέπονται στην τοπική ώρα. Για να βρείτε τη διαφορά μεταξύ της ώρας UTC και της τοπικής ώρας, χρησιμοποιήστε την καρτέλα Ζώνη ώρας (Time Zone) στο εργαλείο "Ημερομηνία και ώρα" (Date and Time) του Πίνακα Ελέγχου (Control Panel).
   Ημερομηνία   Ώρα    Έκδοση         Μέγεθος     Όνομα αρχείου
   ------------------------------------------------------------
   30-AUG-2002  18:16  6.0.2720.3000  1,175,040   Msoe.dll
ΣΗΜΕΙΩΣΗ: Εξαιτίας εξαρτήσεων αρχείων, αυτή η ενημερωμένη έκδοση ενδέχεται να περιέχει πρόσθετα αρχεία.

Outlook Express 5.5



Μια υποστηριζόμενη ενημέρωση κώδικα είναι τώρα διαθέσιμη από τη Microsoft, αλλά προορίζεται μόνο για τη διόρθωση του θέματος που περιγράφεται σε αυτό το άρθρο. Εφαρμόστε τη μόνο σε συστήματα που θα προσδιορίσετε ότι κινδυνεύουν από επίθεση. Αξιολογήστε τη δυνατότητα φυσικής πρόσβασης του υπολογιστή σας, τη σύνδεση δικτύου και Internet και άλλους παράγοντες, για να προσδιορίσετε το βαθμό κινδύνου για τον υπολογιστή σας. Ανατρέξτε στο σχετικό Ενημερωτικό δελτίο ασφαλείας της Microsoft, για να προσδιορίσετε το βαθμό κινδύνου. Αυτή η ενημέρωση κώδικα ενδέχεται να υποβληθεί σε επιπλέον έλεγχο. Εάν ο υπολογιστής σας μπορεί να επηρεαστεί, η Microsoft συνιστά να εφαρμόσετε τώρα αυτήν την ενημέρωση κώδικα. Διαφορετικά, περιμένετε το επόμενο Service Pack του Internet Explorer 5.5 που θα περιέχει αυτήν την ενημέρωση κώδικα.

Για να επιλύσετε αυτό το ζήτημα αμέσως, κάντε λήψη της ενημέρωσης κώδικα ακολουθώντας τις οδηγίες που υπάρχουν πιο κάτω σε αυτό το άρθρο ή επικοινωνήστε με τις Υπηρεσίες Τεχνικής Υποστήριξης της Microsoft (Microsoft Product Support Services) για να αποκτήσετε την ενημέρωση κώδικα. Για μια πλήρη λίστα με τους αριθμούς τηλεφώνων των Υπηρεσιών Τεχνικής Υποστήριξης της Microsoft (Microsoft Product Support Services), καθώς και για πληροφορίες που αφορούν το κόστος υποστήριξης, επισκεφτείτε την παρακάτω τοποθεσία της Microsoft στο Web:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
ΣΗΜΕΙΩΣΗ: Σε ειδικές περιπτώσεις, εάν ένας μηχανικός υποστήριξης της Microsoft κρίνει ότι μια συγκεκριμένη ενημερωμένη έκδοση θα επιλύσει το ζήτημα, ενδέχεται να μην ισχύσουν οι χρεώσεις που υφίστανται κανονικά για κλήσεις υποστήριξης. Το συνηθισμένο κόστος υποστήριξης θα ισχύει για πρόσθετες ερωτήσεις υποστήριξης και για θέματα που δεν αφορούν τη συγκεκριμένη ενημερωμένη έκδοση.

Πληροφορίες λήψης

Το ακόλουθο αρχείο είναι διαθέσιμο προς λήψη από το Κέντρο λήψης της Microsoft (Microsoft Download Center):
Σύμπτυξη αυτής της εικόναςΑνάπτυξη αυτής της εικόνας
Λήψη
Κάντε λήψη του πακέτου Q328389 τώρα
Ημερομηνία έκδοσης: 10 Οκτωβρίου 2002

Για πρόσθετες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
119591 Τρόπος απόκτησης αρχείων υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίες
Η Microsoft εξέτασε αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο κατά την ημερομηνία δημοσίευσης αυτού του αρχείου. Το αρχείο φυλάσσεται σε ασφαλείς διακομιστές οι οποίοι δεν επιτρέπουν μη εξουσιοδοτημένες αλλαγές στο αρχείο.

Πληροφορίες εγκατάστασης

Για αυτή την ενημερωμένη έκδοση κώδικα απαιτείται το Service Pack 2 (SP2) του Internet Explorer 5.5. Για πρόσθετες πληροφορίες, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
276369 Τρόπος απόκτησης του τελευταίου Service Pack για τον Internet Explorer 5.5
Αυτή η ενημερωμένη έκδοση κώδικα υποστηρίζει τους εξής διακόπτες του προγράμματος Εγκατάστασης (Setup):
  • /q - Καθορίζει εγκατάσταση χωρίς μηνύματα (δηλαδή, δεν εμφανίζει μηνύματα στο χρήστη) κατά την εξαγωγή των αρχείων.
  • /q:u - Καθορίζει εγκατάσταση χωρίς μηνύματα χρήστη, κατά την οποία εμφανίζονται ορισμένα παράθυρα διαλόγου στο χρήστη.
  • /q:a - Καθορίζει εγκατάσταση χωρίς μηνύματα διαχειριστή, κατά την οποία δεν εμφανίζεται κανένα παράθυρο διαλόγου στο χρήστη.
  • /t: διαδρομή - Καθορίζει το φάκελο προορισμού για την εξαγωγή αρχείων.
  • /c - Εξάγει τα αρχεία χωρίς να τα εγκαθιστά.
  • /c: διαδρομή - Καθορίζει τη διαδρομή και το όνομα για το αρχείο Setup .inf ή .exe.
  • /r:n - Δεν πραγματοποιεί ποτέ επανεκκίνηση του υπολογιστή έπειτα από μια εγκατάσταση.
  • /r:i - Πραγματοποιεί επανεκκίνηση του υπολογιστή, αν απαιτείται. Πραγματοποιεί αυτόματη επανεκκίνηση του υπολογιστή, αν απαιτείται επανεκκίνηση για την ολοκλήρωση της εγκατάστασης.
  • /r:a - Πραγματοποιεί πάντοτε επανεκκίνηση του υπολογιστή έπειτα από μια εγκατάσταση.
  • /r:s - Πραγματοποιεί επανεκκίνηση του υπολογιστή έπειτα από μια εγκατάσταση χωρίς να ζητά την έγκριση του χρήστη.
  • /n:v - Χωρίς έλεγχο έκδοσης. Εγκαθιστά το πρόγραμμα αντικαθιστώντας κάθε προηγούμενη έκδοση.
Για παράδειγμα, χρησιμοποιήστε την εξής γραμμή εντολών, για να εγκαταστήσετε την ενημερωμένη έκδοση χωρίς την παρέμβαση του χρήστη και χωρίς να εξαναγκάσετε τον υπολογιστή σε επανεκκίνηση:
328389 /q:u /r:n

Πληροφορίες αρχείου

Η αγγλική έκδοση αυτής της ενημέρωσης κώδικα έχει τα χαρακτηριστικά αρχείου (ή νεότερα) που αναφέρονται στον παρακάτω πίνακα. Οι ημερομηνίες και οι ώρες για τα αρχεία αυτά αναφέρονται σε παγκόσμια ώρα (UTC). Όταν προβάλλετε τις πληροφορίες του αρχείου, αυτές μετατρέπονται στην τοπική ώρα. Για να βρείτε τη διαφορά μεταξύ της ώρας UTC και της τοπικής ώρας, χρησιμοποιήστε την καρτέλα Ζώνη ώρας (Time Zone) στο εργαλείο "Ημερομηνία και ώρα" (Date and Time) του Πίνακα Ελέγχου (Control Panel).
   Ημερομηνία    Ώρα     Έκδοση           Μέγεθος     Όνομα αρχείου
   ----------------------------------------------------------------
   13-SEP-2002   20:33   5.50.4920.2300     571,152   Inetcomm.dll
   13-SEP-2002   20:34   5.50.4920.2300   1,146,640   Msoe.dll
ΣΗΜΕΙΩΣΗ: Εξαιτίας εξαρτήσεων αρχείων, αυτή η ενημερωμένη έκδοση ενδέχεται να περιέχει πρόσθετα αρχεία.

Κατάσταση

Η Microsoft έχει επιβεβαιώσει ότι αυτό το ζήτημα μπορεί να προκαλέσει κάποιο βαθμό ευπάθειας ασφαλείας στα προϊόντα της Microsoft που αναφέρονται στην αρχή αυτού του άρθρου.

Περισσότερες πληροφορίες

Για πρόσθετες πληροφορίες σχετικά με αυτό το θέμα ευπάθειας, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/technet/security/bulletin/MS02-058.asp
Για περισσότερες πληροφορίες σχετικά με τις διορθώσεις τις οποίες πραγματοποιεί αυτή η ενημερωμένη έκδοση κώδικα, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο στη Γνωσιακή Βάση της Microsoft (Knowledge Base):
328389 OLEXP: Συλλογή ενημερώσεων κώδικα ασφαλείας για το Outlook Express 5.5

Ιδιότητες

Αναγν. άρθρου: 328676 - Τελευταία αναθεώρηση: Δευτέρα, 24 Φεβρουαρίου 2014 - Αναθεώρηση: 2.3
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
Λέξεις-κλειδιά: 
kbnosurvey kbarchive kbbug kbfix kbwinxppresp1fix kbsecvulnerability kbie600presp1fix kbsecurity kbsecbulletin kbwinxpsp1fix KB328676

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com