MS02-058: OLEXP: Un búfer no comprobado en el analizador S/MIME de Outlook Express puede poner en peligro la seguridad del sistema

Seleccione idioma Seleccione idioma
Id. de artículo: 328676 - Ver los productos a los que se aplica este artículo
Este artículo se ha archivado. Se ofrece "tal cual" y no se volverá a actualizar.
Para obtener información acerca de las diferencias entre los clientes de correo electrónico Microsoft Outlook Express y Microsoft Outlook, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
257824 OL2000: Diferencias entre Outlook y Outlook Express
Expandir todo | Contraer todo

En esta página

Síntomas

Para que Outlook Express pueda comprobar la autenticidad de los mensajes de correo, permite firmarlos digitalmente mediante Extensiones seguras multipropósito de correo Internet (S/MIME, Secure/Multipurpose Internet Mail Extension). El código que genera un mensaje de advertencia cuando se produce una condición de error determinada contiene un punto vulnerable relacionado con la saturación del búfer. Esa condición de error está asociada con las firmas digitales.

Si un atacante crea un mensaje de correo firmado digitalmente, lo edita para introducir datos específicos y a continuación lo envía a otro usuario, puede ocasionar uno de dos efectos posibles cuando el destinatario abra o muestre una vista previa del mensaje:
  • En el caso menos grave, el atacante puede ocasionar que el cliente de correo deje de responder. Si se da este problema, el destinatario puede reiniciar el cliente de correo y eliminar el mensaje dañino para reanudar el funcionamiento normal.
  • En el caso más serio, el atacante puede ocasionar que el cliente de correo ejecute en el equipo del usuario el código que prefiera. Este código puede realizar la acción que decida el atacante, sólo limitada por los permisos que el destinatario tenga en el equipo.
Esta vulnerabilidad sólo afecta a los mensajes firmados mediante S/MIME y enviados a un usuario de Outlook Express. Esta vulnerabilidad no afecta a los usuarios de Microsoft Outlook.

Solución

Esta sección contiene métodos para resolver este problema en las versiones siguientes de Outlook Express:

Outlook Express 6.0

La revisión para esta vulnerabilidad se incluye con Microsoft Internet Explorer versión 6 Service Pack 1 (SP1) y Microsoft Windows XP Service Pack 1. Para obtener información adicional, haga clic en los números de artículo siguientes para verlos en Microsoft Knowledge Base:
328548 Cómo obtener el Service Pack más reciente para Internet Explorer 6
322389 Cómo obtener el Service Pack más reciente para Windows XP

Información de descarga de revisiones individuales

El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:

Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete Q328676
Fecha de aparición: 10 de octubre de 2002

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
. Microsoft exploró este archivo en busca de virus. Microsoft usó el software de detección de virus más actual disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que impiden la realización de cambios no autorizados.

Información acerca de la instalación

Esta revisión admite los siguientes parámetros del programa de instalación:
  • /q: especifica el modo silencioso, es decir, suprime las peticiones de datos mientras se extraen los archivos.
  • /q:u: especifica el modo silencioso con intervención del usuario, que muestra algunos cuadros de diálogo al usuario.
  • /q:a: especifica el modo silencioso con intervención del administrador, que no muestra cuadros de diálogo al usuario.
  • /t:ruta de acceso: especifica la carpeta de destino para extraer archivos.
  • /c: extrae los archivos sin instalarlos.
  • /c:ruta de acceso: especifica la ruta de acceso y el nombre del archivo .inf o .exe de instalación.
  • /r:n: el equipo no se reinicia después de la instalación.
  • /r:i: reinicia el equipo si es necesario. El equipo se reinicia automáticamente si es necesario para completar la instalación.
  • /r:a: el equipo se reinicia después de la instalación.
  • /r:s: el equipo se reinicia después de la instalación sin solicitar confirmación al usuario.
  • /n:v: no se comprueba la versión. Instala el programa sobre cualquier versión anterior.
Por ejemplo, con la línea de comandos siguiente se instala la actualización sin la intervención del usuario y no se fuerza el reinicio del equipo:
q328676 /q:u /r:n

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. La fecha y la hora de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.
   Fecha       Hora     Versión        Tamaño    Nombre de archivo
   --------------------------------------------------------------------------------------
   30-AGO-2002   18:16   6.0.2720.3000   1.175.040   Msoe.dll
				
NOTA: debido a las dependencias de archivos, esta actualización puede contener archivos adicionales.

Outlook Express 5.5

Ahora hay disponible una revisión admitida por Microsoft, pero sólo se diseñó para corregir el problema descrito en este artículo. Únicamente debe aplicarse en equipos que se consideren vulnerables a ataques. Para determinar el grado de vulnerabilidad de un equipo, debe tener en cuenta su accesibilidad física, la conectividad de red y a Internet, y otros factores. Consulte el Microsoft Security Bulletin asociado como ayuda para determinar el grado de riesgo. Se efectuarán pruebas adicionales de esta revisión. Si su equipo está en riesgo, Microsoft recomienda que aplique la revisión lo antes posible. De lo contrario, espere al siguiente Service Pack de Internet Explorer 5.5 que la contenga.

Para resolver este problema inmediatamente, descargue la revisión siguiendo las instrucciones incluidas más adelante en este artículo o póngase en contacto con los Servicios de soporte técnico de Microsoft para obtenerla. Para obtener una lista completa de la información y números de teléfono del Servicio de soporte técnico de Microsoft acerca de los costos del soporte técnico, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/default.aspx?scid=fh;ES-ES;CNTACTMS
NOTA: en casos especiales, los costos derivados normalmente de las llamadas al soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos habituales de soporte se aplicarán a las preguntas y temas de soporte técnico adicionales que no reúnan las condiciones necesarias para la actualización en cuestión.

Información de descarga

El archivo siguiente se puede descargar desde el Centro de descarga de Microsoft:
Contraer esta imagenAmpliar esta imagen
Descargar
Descargue ahora el paquete Q328389
Fecha de aparición: 10 de octubre de 2002

Para obtener información adicional acerca de cómo descargar los archivos de soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
119591 Cómo obtener Archivos de soporte técnico de Microsoft desde los servicios en línea
. Microsoft exploró este archivo en busca de virus. Microsoft usó el software de detección de virus más actual disponible en la fecha de publicación. Asimismo, el archivo se almacenó en servidores seguros que impiden la realización de cambios no autorizados.

Información acerca de la instalación

Esta revisión requiere Internet Explorer 5.5 Service Pack 2 (SP2). Para obtener información adicional, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
276369 Cómo obtener el Service Pack más reciente para Internet Explorer 5.5
Esta revisión admite los siguientes parámetros del programa de instalación:
  • /q: especifica el modo silencioso, es decir, suprime las peticiones de datos mientras se extraen los archivos.
  • /q:u: especifica el modo silencioso con intervención del usuario, que muestra algunos cuadros de diálogo al usuario.
  • /q:a: especifica el modo silencioso con intervención del administrador, que no muestra cuadros de diálogo al usuario.
  • /t:ruta de acceso: especifica la carpeta de destino para extraer archivos.
  • /c: extrae los archivos sin instalarlos.
  • /c:ruta de acceso: especifica la ruta de acceso y el nombre del archivo .inf o .exe de instalación.
  • /r:n: el equipo no se reinicia después de la instalación.
  • /r:i: reinicia el equipo si es necesario. El equipo se reinicia automáticamente si es necesario para completar la instalación.
  • /r:a: el equipo se reinicia después de la instalación.
  • /r:s: el equipo se reinicia después de la instalación sin solicitar confirmación al usuario.
  • /n:v: no se comprueba la versión. Instala el programa sobre cualquier versión anterior.
Por ejemplo, con la línea de comandos siguiente se instala la actualización sin la intervención del usuario y no se fuerza el reinicio del equipo:
328389 /q:u /r:n

Información de archivo

La versión en inglés de esta revisión tiene los atributos de archivo enumerados en la siguiente tabla u otros posteriores. Las fechas y las horas de estos archivos se muestran según el Horario universal coordinado (UTC). Cuando vea la información de archivo, se convertirá a la hora local. Para ver la diferencia entre la hora UTC y la hora local, utilice la ficha Zona horaria de la herramienta Fecha y hora del Panel de control.
   Fecha       Hora     Versión        Tamaño    Nombre de archivo
   --------------------------------------------------------------------------------------
   13-SEP-2002   20:33   5.50.4920.2300     571.152   Inetcomm.dll
   13-SEP-2002   20:34   5.50.4920.2300   1.146.640   Msoe.dll
				
NOTA: debido a las dependencias de archivos, esta actualización puede contener archivos adicionales.

Estado

Microsoft ha confirmado que se trata de un problema que puede causar un cierto grado de vulnerabilidad de la seguridad en los productos de Microsoft enumerados al principio de este artículo.

Más información

Para obtener información adicional acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS02-058.asp
Para obtener información adicional acerca de los problemas que corrige esta revisión, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
328389 OLEXP: Outlook Express 5.5 Rollup

Propiedades

Id. de artículo: 328676 - Última revisión: lunes, 24 de febrero de 2014 - Versión: 2.2
La información de este artículo se refiere a:
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
Palabras clave: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbie600presp1fix kbsecurity kbsecbulletin kbwinxpsp1fix KB328676

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com