[MS02-058] Outlook Express の S/MIME 解析の未チェックのバッファによりシステムが侵害される

文書翻訳 文書翻訳
文書番号: 328676 - 対象製品
この記事は、以前は次の ID で公開されていました: JP328676
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
Microsoft Outlook と Microsoft Outlook Express の相違点の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
257824 [OL2000] Outlook と Outlook Express の相違点
すべて展開する | すべて折りたたむ

目次

現象

Outlook Express では、電子メールの信頼性を検証するために、S/MIME (Secure/Multipurpose Internet Mail Extension) によるメッセージのデジタル署名がサポートされています。デジタル署名に関連する特定のエラー状態が発生したときに警告メッセージを生成するコードに、バッファ オーバーランの脆弱性が存在します。

攻撃者がデジタル署名付きの電子メールを作成し、それを編集して特定のデータを組み込んだ後に別のユーザーに送信した場合、受信者がその電子メールを開いたりプレビューしたりしたときに、以下のいずれかの問題が発生することがあります。
  • 深刻度が比較的低い例では、攻撃者はメール クライアントを異常終了させる可能性があります。この問題が発生した場合、受信者はメール クライアントを再起動して問題のメールを削除することにより、通常の操作を再開することができます。
  • より深刻な場合、ユーザーのコンピュータのメール クライアントで攻撃者の任意のコードが実行される可能性があります。そのコードは攻撃者の意図したあらゆる操作を実行できます。その操作を制限できるのは、コンピュータ上での受信者のアクセス許可のみです。
この脆弱性は、S/MIME によって署名された、Outlook Express ユーザー宛てのメッセージにのみ影響します。Microsoft Outlook ユーザーは、この脆弱性の影響を受けません。

解決方法

ここでは、Outlook Express の以下のバージョンに対する解決方法を記載しています。

Outlook Express 6.0

この問題を解決するには、Internet Explorer 6 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
328548 最新の Internet Explorer 6 Service Pack を入手する方法
この脆弱性に対処する修正プログラムは、Microsoft Internet Explorer 6 Service Pack 1 (SP1) および Microsoft Windows XP SP1 に収録されています。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
328548 [IE] 最新の Internet Explorer 6 Service Pack を入手する方法
322389 最新の Windows XP Service Pack を入手する方法

個別の修正プログラムのダウンロード情報

下記のファイルは、「Microsoft ダウンロードセンター」からダウンロードできます。

元に戻す画像を拡大する

ダウンロード
Q328676 パッケージ
リリース日 : 2002 年 10 月 10 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

インストール情報

この修正プログラムでは、以下のセットアップ スイッチが使用できます。
  • /q - ファイルの展開を非表示モードで実行します (メッセージを一部表示しません)。
  • /q:u - ユーザー非表示モード (ユーザーに一部のダイアログ ボックスを表示します)。
  • /q:a - 管理者非表示モード (ユーザーに一切ダイアログ ボックスを表示しません)。
  • /t:パス - ファイルの展開先フォルダを指定します。
  • /c - インストールを実行せずにファイルの展開のみ行います。
  • /c:パス - セットアップ .inf または .exe ファイルのパスと名前を指定します。
  • /r:n - インストール完了後にコンピュータを再起動しません。
  • /r:i - 必要な場合にコンピュータを再起動します。インストールを完了するために再起動が必要な場合は、自動的に再起動します。
  • /r:a - インストール完了後にコンピュータを必ず再起動します。
  • /r:s - インストール完了後、ユーザーにメッセージを表示せずにコンピュータを再起動します。
  • /n:v - バージョン チェックを実行しません。プログラムのインストール時に以前のバージョンをすべて上書きします。
たとえば、修正プログラムのインストールの際にユーザー入力を省略し、コンピュータが強制的に再起動されないようにするには、次のコマンド ラインを使用します。
q328676 /q:u /r:n

ファイル情報

修正プログラム (日本語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付          時刻    バージョン         サイズ        ファイル名
   ----------------------------------------------------------
   2002/08/30      18:16   6.0.2720.3000   1,175,040   Msoe.dll
: ファイルの依存関係のため、この修正プログラムには他のファイルも含まれていることがあります。

Outlook Express 5.5

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃のおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、 マイクロソフト セキュリティ情報 が役立ちます。この修正プログラムは、今後さらにテストを受ける場合があります。システムへの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合は、この修正プログラムが含まれる次の Internet Explorer 5.5 Service Pack がリリースされるまで待つことを推奨します。

ダウンロード情報

下記のファイルは、「Microsoft ダウンロードセンター」からダウンロードできます。
元に戻す画像を拡大する

ダウンロード
Q328389 パッケージ
リリース日 : 2002 年 10 月 10 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

インストール情報

この修正プログラムを適用するには、Internet Explorer 5.5 Service Pack 2 (SP2) が必要です。 関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
276369 Internet Explorer 5.5 の最新の Service Pack を入手する方法
この修正プログラムでは、以下のセットアップ スイッチが使用できます。
  • /q - ファイルの展開を非表示モードで実行します (メッセージを一部表示しません)。
  • /q:u - ユーザー非表示モード (ユーザーに一部のダイアログ ボックスを表示します)。
  • /q:a - 管理者非表示モード (ユーザーに一切ダイアログ ボックスを表示しません)。
  • /t:パス - ファイルの展開先フォルダを指定します。
  • /c - インストールを実行せずにファイルの展開のみ行います。
  • /c:パス - セットアップ .inf または .exe ファイルのパスと名前を指定します。
  • /r:n - インストール完了後にコンピュータを再起動しません。
  • /r:i - 必要な場合にコンピュータを再起動します。インストールを完了するために再起動が必要な場合は、自動的に再起動します。
  • /r:a - インストール完了後にコンピュータを必ず再起動します。
  • /r:s - インストール完了後、ユーザーにメッセージを表示せずにコンピュータを再起動します。
  • /n:v - バージョン チェックを実行しません。プログラムのインストール時に以前のバージョンをすべて上書きします。
たとえば、修正プログラムのインストールの際にユーザー入力を省略し、コンピュータが強制的に再起動されないようにするには、次のコマンド ラインを使用します。
328389 /q:u /r:n

ファイル情報

修正プログラム (日本語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付          時刻    バージョン          サイズ        ファイル名
   ---------------------------------------------------------------
   2002/09/13     16:33   5.50.4920.2300     571,152   Inetcomm.dll
   2002/09/13     16:48   5.50.4920.2300   1,146,640   Msoe.dll
: ファイルの依存関係のため、この修正プログラムには他のファイルも含まれていることがあります。

状況

マイクロソフトでは、この問題によって、この資料の冒頭に記載したマイクロソフト製品に何らかのセキュリティの脆弱性が生じることを認識しています。

詳細

この問題の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS02-058.mspx
この修正プログラムでの修正内容の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
328389 [OLEXP] Outlook Express 5.5 修正プログラム

プロパティ

文書番号: 328676 - 最終更新日: 2014年2月24日 - リビジョン: 1.4
この資料は以下の製品について記述したものです。
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
キーワード:?
kbnosurvey kbarchive inetcomm.dll kbbug kbfix kbie600presp1fix kbsecbulletin kbsecurity kbsecvulnerability kbwinxppresp1fix kbwinxpsp1fix ms02-058 msoe.dll oe security smime バッファオーバーラン 電子署名 KB328676
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com