MS02-058: OLEXP: Переполнение буфера при обработке S/MIME в Outlook Express может привести к нарушению защиты системы

Переводы статьи Переводы статьи
Код статьи: 328676 - Vizualiza?i produsele pentru care se aplic? acest articol.
Эта статья помещена в архив. Она предлагается "как есть" и обновляться не будет.
За информацией о различиях между Microsoft Outlook и почтовыми клиентами Microsoft Outlook Express обратитесь к следующей статье Microsoft Knowledge Base:
257824 Различия между Microsoft Outlook и Microsoft Outlook Express
Развернуть все | Свернуть все

В этой статье

Проблема

Для проверки подлинности почтовых сообщений клиент Outlook Express поддерживает использование цифровой подписи на основе протокола S/MIME (Secure/Multipurpose Internet Mail Extension). В коде, отвечающем за формирование предупреждения о сбойной ситуации, имеется уязвимое место, которое может вызвать переполнения буфера. Такая сбойная ситуация связана с использованием цифровых подписей.

В случае если злоумышленник создает почтовое сообщения с использованием цифровой подписи, вносит в него определенные данные и отправляет сообщение другому пользователю, открытие или предварительный просмотр такого почтового сообщения может привести к возникновению одной из двух следующих ситуаций.
  • В лучшем случае действия злоумышленника приводят к тому, что почтовый клиент перестает отвечать на запросы. Чтобы возобновить работу, получатель может перезапустить почтовый клиент и удалить опасные сообщения.
  • В худшем случае злоумышленник может спровоцировать выполнение почтовым клиентом определенного кода, находящегося в компьютере пользователя. Этот код может выполнить любые действия, ограниченные только полномочиями получателя сообщения.
Эта уязвимость распространяется только на сообщения, подписанные с использованием S/MIME и отправленные пользователю Outlook Express. Данной уязвимости не подвержены пользователи Microsoft Outlook.

Решение

Этот раздел содержит средства для разрешения проблемы для следующих версий Outlook Express:

Outlook Express 6.0

Обновление для устранения этой уязвимости включено в пакет обновления 1 (SP1) для Internet Explorer 6.0 и в пакет обновления 1 (SP1) для Microsoft Windows XP. За дополнительной информацией обратитесь к следующим статьям Microsoft Knowledge Base:
328548 Как получить последнюю версию пакета обновления для Internet Explorer 6
322389 Как получить последний пакет обновления для Windows XP

Сведения о загрузке исправления

Загрузите следующий файл с веб-узла центра загрузки корпорации Microsoft:

Свернуть это изображениеРазвернуть это изображение
Загрузить
Загрузить пакет Q328676
Дата выпуска: 10 октября 2002 г.

За дополнительной информацией о загрузке файлов с узла технической поддержки корпорации Microsoft обратитесь к следующей статье Microsoft Knowledge Base:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Microsoft проверила этот файл на наличие вирусов. Корпорация Microsoft использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.

Сведения об установке

При запуске программы установки можно использовать следующие параметры командной строки.
  • /q — Автоматический режим извлечения файлов (без вывода сообщений для пользователя).
  • /q:u — Скрытый режим (появляются только некоторые сообщения для пользователя).
  • /q:а — Административный скрытый режим (пользователь не видит никаких диалоговых окон).
  • /t:путь — Задает папку назначения для извлекаемых файлов.
  • /c — Извлечение файлов без установки.
  • /c:путь — Задает путь к установочному файлу INF или EXE.
  • /r:n — Никогда не перезапускать компьютер после установки.
  • /r:i — Перезапускать, если требуется. Эта команда автоматически перезапускает компьютер, если перезапуск требуется для завершения установки.
  • /r:a — Всегда перезапускать компьютер после установки.
  • /r:s — Перезапускать компьютер после установки, не спрашивая пользователя.
  • /n:v — Не проверять версии файлов. Программа устанавливается поверх предыдущей версии.
Например, для установки обновления без вмешательства пользователя и без перезагрузки компьютера необходимо выполнить следующую команду:
q328676 /q:u /r:n

Сведения о файле

Английская версия данного исправления содержит версии файлов, приведенные в следующей таблице, или более поздние. Дата и время для файлов указаны в формате универсального глобального времени (по Гринвичу). При просмотре сведений о файле в системе происходит перевод соответствующих значений в местное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать вкладку Часовой пояс элемента панели управления «Дата и время».
   Дата          Время   Версия             Размер   Имя файла
   ----------------------------------------------------------
   30-авг-2002   18:16   6.0.2720.3000   1 175 040   Msoe.dll
				
Примечание. Из-за зависимостей между файлами обновление может содержать дополнительные файлы.

Outlook Express 5.5

Данная проблема может быть решена с помощью исправления, выпущенного корпорацией Microsoft. Используйте его только на компьютере, который может подвергнуться нападению. Для определения степени риска для вашего компьютера необходимо учитывать такие факторы, как его физическая доступность, подключение к Интернету и другим сетям и т. д. Для определения степени риска обратитесь к соответствующему бюллетеню корпорации Microsoft по безопасности. Данное исправление находится на стадии дополнительного тестирования. По этой причине корпорация Microsoft рекомендует во всех случаях, когда проблема на представляет особой важности, отложить ее решение до выхода ближайшего пакета обновления. отложить ее решение до выхода ближайшего пакета обновления для Internet Explorer 5.5, содержащего данное исправление.

Для оперативного решения этой проблемы загрузите исправления, следуя приведенным ниже инструкциям, или обратитесь в службу технической поддержки корпорации Microsoft. Полный список телефонов служб поддержки, а также информацию по условиям обслуживания см. на веб-узле корпорации Microsoft по адресу:
http://support.microsoft.com/default.aspx?scid=fh;RU;CNTACTMS
Примечание. В отдельных случаях, если специалистом службы технической поддержки Microsoft будет определено, что решением проблемы является специально выпущенное исправление, оплата, предусмотренная за обращение в службы технической поддержки, может быть отменена. Дополнительные вопросы, не связанные с данным исправлением, решаются в соответствии со стандартными условиями.

Сведения о загрузке

Загрузите следующий файл с веб-узла центра загрузки корпорации Microsoft:
Свернуть это изображениеРазвернуть это изображение
Загрузить
Загрузить пакет Q328389
Дата выпуска: 10 октября 2002 г.

За дополнительной информацией о загрузке файлов с узла технической поддержки корпорации Microsoft обратитесь к следующей статье Microsoft Knowledge Base:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Корпорация Microsoft проверила этот файл на наличие вирусов. Корпорация Microsoft использует последние версии антивирусного программного обеспечения на момент публикации файла для проверки его на наличие вирусов. Файл хранится на закрытом сервере, предотвращающем его несанкционированное изменение.

Сведения об установке

Для установки этого исправления необходимо установить пакет обновления 2 (SP2) для Internet Explorer 5.5. За дополнительной информацией обратитесь к следующей статье Microsoft Knowledge Base:
276369 Как получить последний пакет обновления для Internet Explorer 5.5
При запуске программы установки можно использовать следующие параметры командной строки.
  • /q — Автоматический режим извлечения файлов (без вывода сообщений для пользователя).
  • /q:u — Скрытый режим (появляются только некоторые сообщения для пользователя).
  • /q:а — Административный скрытый режим (пользователь не видит никаких диалоговых окон).
  • /t:путь — Задает папку назначения для извлекаемых файлов.
  • /c — Извлечение файлов без установки.
  • /c:путь — Задает путь к установочному файлу INF или EXE.
  • /r:n — Никогда не перезапускать компьютер после установки.
  • /r:i — Перезапускать, если требуется. Эта команда автоматически перезапускает компьютер, если перезапуск требуется для завершения установки.
  • /r:a — Всегда перезапускать компьютер после установки.
  • /r:s — Перезапускать компьютер после установки, не спрашивая пользователя.
  • /n:v — Не проверять версии файлов. Программа устанавливается поверх предыдущей версии.
Например, для установки обновления без вмешательства пользователя и перезагрузки компьютера необходимо выполнить следующую команду:
328389 /q:u /r:n

Сведения о файле

Английская версия данного исправления содержит версии файлов, приведенные в следующей таблице, или более поздние. Дата и время для файлов указаны в формате универсального глобального времени (по Гринвичу). При просмотре сведений о файле в системе происходит перевод соответствующих значений в местное время. Чтобы узнать разницу между временем по Гринвичу и местным временем, следует использовать вкладку Часовой пояс элемента панели управления «Дата и время».
   Дата          Время   Версия              Размер   Имя файла
   ---------------------------------------------------------------
   13-сен-2002   20:33   5.50.4920.2300     571 152   Inetcomm.dll
   13-сен-2002   20:34   5.50.4920.2300   1 146 640   Msoe.dll
				
Примечание. Из-за зависимостей между файлами обновление может содержать дополнительные файлы.

Статус

Данное поведение является подтвержденной уязвимостью продуктов Microsoft, перечисленных в начале данной статьи.

Дополнительная информация

Для получения дополнительной информации о данной уязвимости обратитесь к веб-узлу корпорации Microsoft по адресу:
http://www.microsoft.com/technet/security/bulletin/MS02-058.asp
За дополнительной информацией об исправлениях, вошедших в состав данного обновления, обратитесь к следующей статье Microsoft Knowledge Base:
328389 OLEXP: Outlook Express 5.5 Rollup

Свойства

Код статьи: 328676 - Последний отзыв: 21 февраля 2014 г. - Revision: 2.2
Информация в данной статье применима к:
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
Ключевые слова: 
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbie600presp1fix kbsecurity kbsecbulletin kbwinxpsp1fix KB328676

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com