MS02-058:OLEXP:Outlook Express S/MIME 分析中未经检查的缓冲区可能会危及系统的安全

文章翻译 文章翻译
文章编号: 328676 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
有关 Microsoft Outlook 和 Microsoft Outlook Express 电子邮件客户程序之间的区别的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
257824 OL2000:Outlook 和 Outlook Express 之间的区别
展开全部 | 关闭全部

本文内容

症状

为了允许 Outlook Express 验证邮件的真实性,Outlook Express 支持使用安全/多用途 Internet 邮件扩展 (S/MIME) 对邮件进行数字签名。在特定错误条件发生时生成一条警告消息的代码包含缓冲区溢出漏洞。该错误条件与数字签名相关联。

如果攻击者创建一个经过数字签名的电子邮件,对其进行编辑以引入特定数据,然后将其发送给另一用户,则当收件人打开或预览该电子邮件时,攻击者可能会导致以下两种结果之一:
  • 在较不严重的情况下,攻击者可能会导致邮件客户程序停止响应。如果发生此问题,收件人可以重新启动邮件客户程序,然后删除攻击性邮件以恢复正常的操作。
  • 在较为严重的情况下,攻击者可能会导致邮件客户程序在用户计算机上运行攻击者选择的代码。这种代码可以执行攻击者需要的任何操作,仅受收件人在计算机上的权限限制。
此漏洞只影响使用 S/MIME 签名并发送给 Outlook Express 用户的邮件。Microsoft Outlook 用户不受此漏洞的影响。

解决方案

这一部分包含用于以下版本的 Outlook Express 的解决方案:

Outlook Express 6.0

此漏洞的修补程序包含在 Microsoft Internet Explorer 版本 6 的 Service Pack 1 (SP1) 和 Microsoft Windows XP SP1 中。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
328548 如何获取 Internet Explorer 6 的最新 Service Pack
322389 如何获取最新的 Windows XP Service Pack

个别修补程序下载信息

从 Microsoft 下载中心可以下载以下文件:

收起这个图片展开这个图片
下载
立即下载 Q328676 软件包
发布日期:2002 年 10 月 10 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性已增强的服务器上,以防止在未经授权的情况下对其进行更改。

安装信息

此修补程序支持下列安装开关:
  • /q — 指定在解压缩文件时使用静默模式(换言之,取消提示)。
  • /q:u — 指定用户静默模式,该模式会向用户显示一些对话框。
  • /q:a — 指定管理员静默模式,该模式不向用户显示任何对话框。
  • /t:路径 — 指定用于解压缩文件的目标文件夹。
  • /c — 解压缩文件而不安装它们。
  • /c:路径 — 指定 Setup .inf 或 .exe 文件的路径和名称。
  • /r:n — 安装后从不重新启动计算机。
  • /r:i — 在需要时重新启动计算机。如果需要重新启动计算机以完成安装,则会自动重新启动。
  • /r:a — 安装后始终重新启动计算机。
  • /r:s — 安装后不提示用户即重新启动计算机。
  • /n:v — 不进行版本检查。以覆盖任何旧版本的方式安装程序。
例如,使用下面的命令行安装更新程序,而不需要任何用户干预并且不强制计算机重新启动:
q328676 /q:u /r:n

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的时区选项卡。
日期		时间	版本		大小		文件名
---------------------------------------------------------------
30-AUG-2002	18:16	6.0.2720.3000   1,175,040	Msoe.dll
				
注意:由于存在文件依赖性,此更新中可能还包括其他一些文件。

Outlook Express 5.5

Microsoft 提供了受支持的修补程序,但该程序只用于解决本文所介绍的问题。仅应对您确定具有攻击风险的计算机应用此修补程序。请评估您计算机的实际可访问性、网络和 Internet 连接及其他因素,以便确定您计算机遭受的风险程度。请参阅相关的 Microsoft 安全公告 以帮助确定风险程度。此修补程序可能还会接受其他一些测试。如果您的计算机确有风险,Microsoft 建议您立即应用此修补程序。否则,请等待包含此修补程序的下一版 Internet Explorer 5.5 Service Pack。

要立即解决此问题,请按照本文内下文中的说明下载此修补程序,或与“Microsoft 产品支持服务”联系以获取此修补程序。有关“Microsoft 产品支持服务”电话号码和支持费用信息的完整列表,请访问下面的 Microsoft Web 站点:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
注意:特殊情况下,如果 Microsoft 支持专业人员确定某个特定的更新能够解决您的问题,可免收支持电话的费用。对于特定的更新无法解决的其他支持问题和事项,将正常收取支持费用。

下载信息

从 Microsoft 下载中心可以下载以下文件:
收起这个图片展开这个图片
下载
立即下载 Q328389 软件包
发布日期:2002 年 10 月 10 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。此文件存储在安全性已增强的服务器上,以防止在未经授权的情况下对其进行更改。

安装信息

此修补程序需要 Internet Explorer 5.5 Service Pack 2 (SP2)。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
276369 如何获取 Internet Explorer 5.5 的最新 Service Pack
此修补程序支持下列安装开关:
  • /q — 指定在解压缩文件时使用静默模式(换言之,取消提示)。
  • /q:u — 指定用户静默模式,该模式会向用户显示一些对话框。
  • /q:a — 指定管理员静默模式,该模式不向用户显示任何对话框。
  • /t:路径 — 指定用于解压缩文件的目标文件夹。
  • /c — 解压缩文件而不安装它们。
  • /c:路径 — 指定 Setup .inf 或 .exe 文件的路径和名称。
  • /r:n — 安装后从不重新启动计算机。
  • /r:i — 在需要时重新启动计算机。如果需要重新启动计算机以完成安装,则会自动重新启动。
  • /r:a — 安装后始终重新启动计算机。
  • /r:s — 安装后不提示用户即重新启动计算机。
  • /n:v — 不进行版本检查。以覆盖任何旧版本的方式安装程序。
例如,使用下面的命令行安装更新程序,无需任何用户干预并且不强制计算机重新启动:
328389 /q:u /r:n

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的时区选项卡。
日期		时间	版本		大小		文件名     
---------------------------------------------------------------------
13-SEP-2002	20:33   5.50.4920.2300  571,152		Inetcomm.dll
13-SEP-2002	20:34   5.50.4920.2300  1,146,640	Msoe.dll
				
注意:由于存在文件依赖性,此更新中可能还包括其他一些文件。

状态

Microsoft 已经确认此问题可能导致本文开头列出的 Microsoft 产品中存在某种程度的安全漏洞。

更多信息

有关此漏洞的其他信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/security/bulletin/MS02-058.asp
有关此修补程序可修复哪些问题的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中的相应文章:
328389 OLEXP:Outlook Express 5.5 Rollup

属性

文章编号: 328676 - 最后修改: 2014年2月26日 - 修订: 2.2
这篇文章中的信息适用于:
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
关键字:?
kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbie600presp1fix kbsecurity kbsecbulletin kbwinxpsp1fix KB328676
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com