MS02-058: OLEXP: Un buffer non controllato nell'analisi S/MIME di Outlook Express potrebbe consentire di danneggiare il sistema

Traduzione articoli Traduzione articoli
Identificativo articolo: 328676 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo Ŕ stato archiviato. L?articolo, quindi, viene offerto ?cosý come Ŕ? e non verrÓ pi¨ aggiornato.
Per informazioni sulle differenze tra i client di posta elettronica Microsoft Outlook Express e Microsoft Outlook, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
257824 OL2000: Differenze tra Outlook e Outlook Express
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

Per consentire la verifica dell'autenticitÓ dei messaggi di posta elettronica, Outlook Express supporta la firma digitale dei messaggi mediante tecnologia S/MIME (Secure/Multipurpose Internet Mail Extension). Il codice che genera un messaggio di avviso quando Ŕ presente una particolare condizione di errore contiene un problema di protezione relativo a un sovraccarico del buffer. Tale condizione di errore Ŕ associata alle firme digitali.

Se un utente malintenzionato crea un messaggio di posta elettronica dotato di firma digitale, lo modifica introducendovi determinati dati e lo invia a un altro utente, quando il destinatario lo aprirÓ o lo visualizzerÓ in anteprima l'utente malintenzionato potrebbe causare uno dei due effetti descritti di seguito:
  • Nel caso meno grave l'utente malintenzionato potrebbe fare in modo che il client di posta elettronica si blocchi. In tal caso, il destinatario potrÓ riavviare il client di posta elettronica ed eliminare il messaggio che causa il problema, in modo da ripristinare il normale funzionamento del client.
  • Nel caso pi¨ grave l'utente malintenzionato potrebbe fare in modo che il client di posta elettronica esegua qualsiasi codice scelto dall'aggressore nel computer del mittente. L'aggressore pu˛ scegliere codice in grado di svolgere qualsiasi azione, purchÚ consentita dalle autorizzazioni del mittente per il computer.
Questo problema di protezione riguarda solo i messaggi a cui Ŕ stata apposta una firma digitale utilizzando la tecnologia S/MIME e inviati a un utente di Outlook Express. Gli utenti di Microsoft Outlook non sono soggetti a questo problema.

Risoluzione

In questa sezione vengono fornite le soluzioni per le seguenti versioni di Outlook Express:

Outlook Express 6.0

La patch per questo problema Ŕ inclusa in Microsoft Internet Explorer versione 6 Service Pack 1 (SP1) e Microsoft Windows XP SP1. Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
328548 Come ottenere il service pack pi¨ recente per Internet Explorer 6
322389 Come ottenere il service pack pi¨ recente per Windows XP

Informazioni per il download delle singole patch

Il seguente file Ŕ disponibile per il download dall'Area download Microsoft:

Download del pacchetto Q328676
Data di rilascio: 10 ottobre 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Informazioni sull'installazione

Questa patch supporta i seguenti parametri di installazione:
  • /q - Consente di specificare la modalitÓ non interattiva, in cui non Ŕ visualizzata alcuna richiesta all'utente durante l'estrazione dei file.
  • /q:u - Consente di specificare la modalitÓ non interattiva per l'utente, in cui vengono visualizzate alcune finestre di dialogo.
  • /q:a - Consente di specificare la modalitÓ non interattiva amministratore, in cui all'utente non viene visualizzata alcuna finestra di dialogo.
  • /t:percorso - Consente di specificare la cartella di destinazione per i file estratti.
  • /c - Consente di estrarre i file senza installarli.
  • /c:percorso - Consente di specificare il percorso e il nome del file INF o EXE di installazione.
  • /r:n - Consente di non riavviare mai il computer dopo l'installazione.
  • /r:i - Consente di riavviare il computer se richiesto. Il computer viene automaticamente riavviato se necessario per completare l'installazione.
  • /r:a - Consente di imporre il riavvio del computer dopo l'installazione.
  • /r:s - Consente di imporre il riavvio automatico del computer, senza previa richiesta, al termine dell'installazione.
  • /n:v - Consente di non effettuare il controllo della versione. Il programma viene installato sovrascrivendo qualsiasi versione precedente.
Per installare, ad esempio, la patch senza alcun intervento da parte dell'utente, evitando il riavvio del computer una volta terminata l'installazione, utilizzare la seguente riga di comando:
q328676 /q:u /r:n

Informazioni sui file

La versione in lingua inglese di questa correzione presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
   Data           Ora      Versione       Dimensione   Nome file
   -------------------------------------------------------------
   30/08/2002     18.16    6.0.2720.3000   1.175.040   Msoe.dll
				
NOTA: a causa delle dipendenze fra i file, Ŕ possibile che questo aggiornamento contenga ulteriori file.

Outlook Express 5.5

╚ disponibile una correzione supportata da Microsoft, che Ŕ tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo ai computer che si ritengono soggetti al rischio di attacchi. Per determinare il livello di rischio cui Ŕ soggetto il computer, valutarne attentamente il grado di accessibilitÓ fisica, la connessione di rete e a Internet e altri fattori. Vedere il relativo Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese) per determinare il livello di rischio. ╚ possibile che su questa correzione vengano eseguite ulteriori verifiche. Se il computer Ŕ a rischio, si consiglia di applicare la correzione dell'errore immediatamente. In caso contrario si consiglia di attendere la versione successiva del service pack di Internet Explorer 5.5 contenente tale correzione.

Per risolvere immediatamente questo problema, scaricare la correzione come indicato in questo articolo oppure contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il sito Web Microsoft all'indirizzo:
http://support.microsoft.com/default.aspx?scid=fh;IT;CNTACTMS
NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Tecnico Clienti Microsoft potrebbero essere annullate qualora un addetto del Servizio Supporto Tecnico Clienti Microsoft dovesse determinare che uno specifico aggiornamento risolverÓ il problema. I normali costi del Servizio Supporto Tecnico Clienti verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

Informazioni sul download

Il seguente file Ŕ disponibile per il download dall'Area download Microsoft:
Download del pacchetto Q328389
Data di rilascio: 10 ottobre 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file Ŕ stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus pi¨ recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server protetti che impediscono modifiche non autorizzate.

Informazioni sull'installazione

Questa patch richiede Internet Explorer 5.5 Service Pack 2 (SP2). Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
276369 Come ottenere l'ultimo Service Pack per Internet Explorer 5.5
Questa patch supporta i seguenti parametri di installazione:
  • /q - Consente di specificare la modalitÓ non interattiva, in cui non Ŕ visualizzata alcuna richiesta all'utente durante l'estrazione dei file.
  • /q:u - Consente di specificare la modalitÓ non interattiva per l'utente, in cui vengono visualizzate alcune finestre di dialogo.
  • /q:a - Consente di specificare la modalitÓ non interattiva amministratore, in cui all'utente non viene visualizzata alcuna finestra di dialogo.
  • /t:percorso - Consente di specificare la cartella di destinazione per i file estratti.
  • /c - Consente di estrarre i file senza installarli.
  • /c:percorso - Consente di specificare il percorso e il nome del file INF o EXE di installazione.
  • /r:n - Consente di non riavviare mai il computer dopo l'installazione.
  • /r:i - Consente di riavviare il computer se richiesto. Il computer viene automaticamente riavviato se necessario per completare l'installazione.
  • /r:a - Consente di imporre il riavvio del computer dopo l'installazione.
  • /r:s - Consente di imporre il riavvio automatico del computer, senza previa richiesta, al termine dell'installazione.
  • /n:v - Consente di non effettuare il controllo della versione. Il programma viene installato sovrascrivendo qualsiasi versione precedente.
Per installare, ad esempio, la patch senza alcun intervento da parte dell'utente, evitando il riavvio del computer una volta terminata l'installazione, utilizzare la seguente riga di comando:
328389 /q:u /r:n

Informazioni sui file

La versione in lingua inglese di questa correzione presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
   Data         Ora     Versione        Dimensione    Nome file
   ---------------------------------------------------------------
   13/09/2002   20.33   5.50.4920.2300     571.152    Inetcomm.dll
   13/09/2002   20.34   5.50.4920.2300   1.146.640    Msoe.dll
				
NOTA: a causa delle dipendenze fra i file, Ŕ possibile che questo aggiornamento contenga ulteriori file.

Status

Microsoft ha confermato che questo problema pu˛ determinare una certa vulnerabilitÓ nelle funzioni di protezione dei prodotti Microsoft elencati alla fine di questo articolo.

Informazioni

Per ulteriori informazioni su questo problema di protezione, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/technet/security/bulletin/MS02-058.asp
Per ulteriori informazioni sui problemi corretti da questa patch, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
328389 OLEXP: Rollup di Outlook Express 5.5

ProprietÓ

Identificativo articolo: 328676 - Ultima modifica: mercoledý 26 febbraio 2014 - Revisione: 2.2
Le informazioni in questo articolo si applicano a
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
Chiavi:á
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbie600presp1fix kbsecurity kbsecbulletin kbwinxpsp1fix KB328676
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com