MS02-058: OLEXP: Um buffer não verificado na análise da extensão S/MIME do Outlook Express pode permitir um comprometimento do sistema

Traduções deste artigo Traduções deste artigo
ID do artigo: 328676 - Exibir os produtos aos quais esse artigo se aplica.
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Para obter informações sobre as diferenças entre os clientes do Microsoft Outlook e do Microsoft Outlook Express, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
257824 OL2000: Diferenças entre o Outlook e o Outlook Express
Expandir tudo | Recolher tudo

Neste artigo

Sintomas

Para permitir que o Outlook Express verifique a autenticidade de emails, o Outlook Express suporta assinatura digital de mensagens usando extensões S/MIME (Secure/Multipurpose Internet Mail Extension). O código que gera uma mensagem de aviso quando uma condição de erro específica ocorre contém uma vulnerabilidade de saturação do buffer. Essa condição de erro é associada com as assinaturas digitais.

Se um invasor cria um email assinado digitalmente, edita esse email para introduzir dados específicos e o envia para outro usuário, o invasor poderá fazer com que um dos dois efeitos, ocorra quando o destinatário abrir ou visualizar o email:
  • No caso menos sério, o invasor pode fazer com que o cliente de email pare de responder. Se esse problema ocorrer, o destinatário poderá reiniciar o cliente de email e excluir o email ofensivo para retornar às operações normais.
  • No caso mais sério, o invasor pode fazer com que o cliente de email execute códigos de sua escolha no computador do usuário. Esses códigos podem executar quaisquer ações pretendidas pelo invasor, limitadas apenas pelas permissões do destinatário no computador.
Essa vulnerabilidade afeta apenas mensagens assinadas usando S/MIME e enviadas a um usuário do Outlook Express. Os usuários do Microsoft Outlook não são afetados por essa vulnerabilidade.

Resolução

Essa seção contém resoluções para as seguintes versões do Outlook Express:

Outlook Express 6.0

O patch para essa vulnerabilidade está incluído no Microsoft Internet Explorer version 6 Service Pack 1 (SP1) e com o Microsoft Windows XP SP1. Para obter informações adicionais, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento da Microsoft:
328548 Como obter o service pack mais recente para o Internet Explorer 6
322389 Como obter o service pack mais recente do Windows XP

Informações sobre download de patch individual

O seguinte arquivo está disponível para download no Centro de Download da Microsoft:

Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q328676 agora
Data de lançamento: 10 de outubro de 2002

Para obter informações adicionais sobre como baixar arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como obter arquivos de suporte da Microsoft nos serviços online
A Microsoft examinou esse arquivo em busca de vírus. A Microsoft utilizou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

Informações sobre a instalação

Este patch suporta as seguintes opções de Instalação:
  • /q - Especifica o modo silencioso (em outras palavras, suprime as solicitações) quando os arquivos forem extraídos.
  • /q:u - Especifica o modo silencioso do usuário, o que apresenta algumas caixas de diálogo ao usuário.
  • /q:a - Especifica o modo silencioso do administrador, o que não apresenta caixas de diálogo ao usuário.
  • /t:caminho - Especifica a pasta de destino para a extração dos arquivos.
  • /c - Extrai os arquivos sem instalá-los.
  • /c:caminho - Especifica o caminho e o nome do arquivo Setup .inf ou .exe.
  • /r:n - Não reinicia o computador após a instalação.
  • /r:i - Reinicia o computador, caso isso seja necessário. Reinicia automaticamente o computador, caso isso seja necessário para completar a instalação.
  • /r:a - Sempre reinicia o computador após uma instalação.
  • /r:s - Reinicia o computador após uma instalação sem pedir ao usuário.
  • /n:v - Não há verificação de versão. Instala o programa sobre versões anteriores.
Por exemplo, use a seguinte linha de comando para instalar a atualização sem nenhuma intervenção por parte do usuário e sem forçar o computador a reiniciar:
q328676 /q:u /r:n

Informações sobre o arquivo

A versão em inglês desta correção apresenta os atributos de arquivo (ou posteriores) listados na seguinte tabela. As datas e os horários desses arquivos estão relacionados em formato UTC (coordenadas de tempo universal). Ao visualizar as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.
   Data          Hora      Versão         Tamanho    Nome do arquivo
   -----------------------------------------------------------------
   30-ago-2002   18:16   6.0.2720.3000   1.175.040    Msoe.dll
				
OBSERVAÇÃO: Devido às dependências do arquivo, essa atualização pode conter arquivos adicionais.

Outlook Express 5.5

Uma correção suportada foi disponibilizada pela Microsoft, porém destina-se a corrigir somente o problema descrito neste artigo. Aplique-a somente em computadores que correm o risco de ataque. Avalie a acessibilidade física do computador, a conectividade de rede e da Internet e outros fatores para determinar o grau de risco do computador. Consulte o Boletim de segurança da Microsoft correspondente para ajudar a determinar o grau de risco. Testes adicionais poderão ser realizados nessa correção. Caso seu computador corra um risco considerável, a Microsoft recomenda a aplicação dessa correção agora. Caso contrário, espere o próximo service pack do Internet Explorer 5.5 que a contenha.

Para solucionar esse problema imediatamente, baixe a correção seguindo as instruções posteriormente descritas neste artigo ou contate o Atendimento Microsoft para obtê-la. Para obter uma lista completa dos números de telefone do Atendimento Microsoft e as informações sobre os custos de suporte, visite o seguinte site da Microsoft:
http://www.microsoft.com/brasil/atendimento/fale_ms.asp
OBSERVAÇÃO: Em casos especiais, as taxas cobradas pelas ligações para o suporte podem ser canceladas se um profissional de suporte da Microsoft determinar que uma atualização específica resolverá o problema. Os custos normais de suporte serão aplicados a questões e problemas de suporte que não se qualifiquem à atualização específica em questão.

Informações sobre o download

O seguinte arquivo está disponível para download no Centro de Download da Microsoft:
Recolher esta imagemExpandir esta imagem
Download
Baixe o pacote Q328389 agora
Data de lançamento: 10 de outubro de 2002

Para obter informações adicionais sobre como baixar os arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
119591 Como obter arquivos de suporte da Microsoft nos serviços online
A Microsoft verificou este arquivo em busca de vírus. A Microsoft utilizou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

Informações sobre a instalação

Este patch requer o Internet Explorer 5.5 Service Pack 2 (SP2). Para obter informações adicionais, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
276369 Como obter o service pack mais recente para o Internet Explorer 5.5
Esse patch suporta as seguintes opções de Instalação:
  • /q - Especifica o modo silencioso (em outras palavras, suprime as solicitações) quando os arquivos forem extraídos.
  • /q:u - Especifica o modo silencioso do usuário, o que apresenta algumas caixas de diálogo ao usuário.
  • /q:a - Especifica o modo silencioso do administrador, o que não apresenta caixas de diálogo ao usuário.
  • /t:caminho - Especifica a pasta de destino para a extração dos arquivos.
  • /c - Extrai os arquivos sem instalá-los.
  • /c:caminho - Especifica o caminho e o nome do arquivo Setup .inf ou .exe.
  • /r:n - Não reinicia o computador após a instalação.
  • /r:i - Reinicia o computador, caso isso seja necessário. Reinicia automaticamente o computador, caso isso seja necessário para completar a instalação.
  • /r:a - Sempre reinicia o computador após uma instalação.
  • /r:s - Reinicia o computador após uma instalação sem pedir ao usuário.
  • /n:v - Não há verificação de versão. Instala o programa sobre versões anteriores.
Por exemplo, use a seguinte linha de comando para instalar a atualização sem nenhuma intervenção por parte do usuário e sem forçar o computador a reiniciar:
328389 /q:u /r:n

Informações sobre o arquivo

A versão em inglês desta correção apresenta os atributos de arquivo (ou posteriores) listados na seguinte tabela. As datas e os horários desses arquivos estão relacionados em formato UTC (coordenadas de tempo universal). Ao visualizar as informações sobre o arquivo, elas são convertidas para a hora local. Para encontrar a diferença entre UTC e a hora local, use a guia Fuso horário na ferramenta Data e hora do Painel de controle.
   Data         Hora      Versão       Tamanho    Nome do arquivo
   ---------------------------------------------------------------
   13-set-2002   20:33   5.50.4920.2300     571.152   Inetcomm.dll
   13-set-2002   20:34   5.50.4920.2300   1.146.640   Msoe.dll
				
OBSERVAÇÃO: Devido às dependências do arquivo, essa atualização pode conter arquivos adicionais.

Situação

A Microsoft confirmou que esse problema pode causar um certo grau de vulnerabilidade na segurança dos produtos Microsoft listados no começo deste artigo.

Mais Informações

Para obter informações adicionais sobre essa vulnerabilidade, visite o seguinte site da Microsoft (site em inglês):
http://www.microsoft.com/technet/security/bulletin/MS02-058.mspx
Para obter informações adicionais sobre o que é corigido por esse patch, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento da Microsoft:
328389 OLEXP: Pacote cumulativo do Outlook Express 5.5

Propriedades

ID do artigo: 328676 - Última revisão: quarta-feira, 26 de fevereiro de 2014 - Revisão: 3.4
A informação contida neste artigo aplica-se a:
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
Palavras-chave: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbie600presp1fix kbsecurity kbsecbulletin kbwinxpsp1fix atdownload KB328676

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com