MS02-058: OLEXP: 在 Outlook Express S/MIME 剖析的未檢查的緩衝區可能會允許系統遭到入侵

文章翻譯 文章翻譯
文章編號: 328676 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
Microsoft Outlook 和 Microsoft Outlook Express 電子郵件用戶端之間的差異有關按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
257824OL2000: Outlook] 和 [Outlook Express 之間的差異
全部展開 | 全部摺疊

在此頁中

徵狀

要允許 Outlook Express 郵件訊息的授權驗證,Outlook Express 支援數位簽章的郵件使用安全/多用途網際網路郵件延伸 (S/MIME)。特定的錯誤狀況發生時就會產生警告訊息的程式碼包含緩衝區滿溢的弱點。該錯誤條件會與數位簽章相關聯。

如果攻擊者建立數位簽章的電子郵件訊息,編輯它來引入特定資料,然後將它傳送到另一位使用者,攻擊者可能會導致其中一個收件者開啟或預覽電子郵件時,會發生兩個效果:
  • 在較不嚴重的情況下,攻擊者可能會造成郵件用戶端停止回應。如果此問題收件者可以重新啟動的郵件用戶端,然後再刪除違規的郵件至恢復正常作業。
  • 在更嚴重的情況下,攻擊者可能會造成郵件用戶端在使用者的電腦上執行攻擊者所選擇的程式碼。這類程式碼可以採取攻擊者,想要只受到電腦上收件者的權限的任何動作。
這項弱點只會影響由使用 S/MIME 簽署,而會傳送至 Outlook Express 的使用者的訊息。Microsoft Outlook 使用者不受此弱點的影響。

解決方案

Outlook Express 6.0

這個弱點的補充程式已內附於 Microsoft Internet Explorer 第 6 版 Service Pack 1 (SP1) 與 Microsoft Windows XP SP1。 如需詳細資訊按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
328548如何取得最新的 Service Pack 的 Internet Explorer 6
322389如何取得最新的 Windows XP Service Pack

個別的補充程式下載資訊

下列檔案是可以從 Microsoft 下載中心 」 下載:

摺疊此圖像展開此圖像
Download
Download the Q328676 package now
發行日期: 2002 年 10 月 10日,

如需有關如何下載 Microsoft 支援檔案的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
119591如何從線上服務取得 Microsoft 支援檔案
Microsoft 已掃描這個檔案有無病毒。Microsoft 使用已張貼檔案的日期中的 [可用的最新病毒偵測軟體。檔案儲存在安全性強化的伺服器上,以避免任何未經授權的更改至檔案。

安裝資訊

這個補充程式支援下列安裝參數:
  • /q/q-指定安靜模式 (亦即不出現提示) 檔案解壓縮。
  • / q: u-指定會對使用者顯示一些對話方塊的使用者無訊息模式。
  • / q: 一個-指定系統管理員-採用無訊息模式不會向使用者顯示任何對話方塊。
  • / t: path-指定目標資料夾解壓縮檔案。
  • /c/c-解壓縮檔案但不進行安裝。
  • / c: path-指定路徑,以及安裝程式.inf 或.exe 檔案的名稱。
  • / r: n-不安裝之後,重新啟動電腦。
  • / r: i-如果需要重新啟動電腦,則重新在電腦。如果重新開機才能完成安裝,會自動重新啟動電腦。
  • / r: 一個-永遠安裝之後,重新啟動電腦。
  • / r: s-安裝之後重新電腦,而不提示使用者。
  • / n:v-不進行版本檢查。在任何舊版上安裝程式。
比方說使用下列命令列來安裝更新沒有任何使用者介入的情況下也不強迫電腦重新啟動:
q328676/q: u /: n

檔案資訊

此修正程式的英文版具有檔案屬性 (或更新) 中如下表所列。這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用 [中日期] 和 [時間] 工具,在 [控制台] 中的 [時區] 索引標籤]。
   Date          Time    Version         Size        File name     
   ----------------------------------------------------------
   30-AUG-2002   18:16   6.0.2720.3000   1,175,040   Msoe.dll
				
注意: 由於檔案相依性的此更新程式可能包含其他檔案。

Outlook Express 5.5

修正程式現在可以從 Microsoft,但它只用來修正本文所述的問題。因此只提供給您判斷風險的攻擊的電腦。請評估電腦的實體存取設定、 網路及網際網路連線能力以及其他因素,以判斷您的電腦的風險程度。請參閱相關的 Microsoft Security Bulletin,以協助您判斷風險程度。此修正程式可能會接受其他測試。如果您的電腦是夠風險,Microsoft 建議您立即套用此修正程式。否則,等待下一個網際網路總管 5.5 Service Pack 包含此修正程式。

若要立即解決這個問題,以下載修正程式,請遵循本文中的指示,或洽詢 Microsoft 技術支援部以取得此修正程式。 如需 Microsoft 產品支援服務電話號碼及支援成本的相關資訊的完整清單,請造訪下列 Microsoft 網站]:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
注意: 在特殊情況中通常會因支援電話所產生的費用如果,可能就不收取 Microsoft 支援人員認為某特定更新程式可以解決您的問題。平常的支援成本將會套用到其他支援問題是所做不限定特定有問題的更新程式。

下載資訊

下列檔案是可以從 Microsoft 下載中心 」 下載:
摺疊此圖像展開此圖像
Download
Download the Q328389 package now
發行日期: 2002 年 10 月 10日,

如需有關如何下載 Microsoft 支援檔案的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
119591如何從線上服務取得 Microsoft 支援檔案
Microsoft 已掃描這個檔案有無病毒。Microsoft 使用已張貼檔案的日期中的 [可用的最新病毒偵測軟體。檔案儲存在安全的伺服器上,以避免任何未經授權的更改至檔案。

安裝資訊

這個補充程式需要網際網路總管 5.5 Service Pack 2 (SP2)。 如需詳細資訊按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
276369如何取得最新的 Service Pack,如網際網路總管 5.5
這個補充程式支援下列安裝參數:
  • /q/q-指定安靜模式 (亦即不出現提示) 檔案解壓縮。
  • / q: u-指定會對使用者顯示一些對話方塊的使用者無訊息模式。
  • / q: 一個-指定系統管理員-採用無訊息模式不會向使用者顯示任何對話方塊。
  • / t: path-指定目標資料夾解壓縮檔案。
  • /c/c-解壓縮檔案但不進行安裝。
  • / c: path-指定路徑,以及安裝程式.inf 或.exe 檔案的名稱。
  • / r: n-不安裝之後,重新啟動電腦。
  • / r: i-如果需要重新啟動電腦,則重新在電腦。如果重新開機才能完成安裝,會自動重新啟動電腦。
  • / r: 一個-永遠安裝之後,重新啟動電腦。
  • / r: s-安裝之後重新電腦,而不提示使用者。
  • / n:v-不進行版本檢查。在任何舊版上安裝程式。
比方說使用下列命令列來安裝更新沒有任何使用者介入的情況下也不強迫電腦重新啟動:
328389/q: u /: n

檔案資訊

此修正程式的英文版具有檔案屬性 (或更新) 中如下表所列。這些檔案的日期和時間為 Coordinated Universal Time (UTC)。當您檢視檔案資訊時,會將它轉換為當地時間。若要到 UTC 與當地時間差異使用 [中日期] 和 [時間] 工具,在 [控制台] 中的 [時區] 索引標籤]。
   Date          Time    Version          Size        File name     
   ---------------------------------------------------------------
   13-SEP-2002   20:33   5.50.4920.2300     571,152   Inetcomm.dll
   13-SEP-2002   20:34   5.50.4920.2300   1,146,640   Msoe.dll
				
注意: 由於檔案相依性的此更新程式可能包含其他檔案。

狀況說明

Microsoft 已確認此問題可能會一定程度的安全性弱點造成在本文開頭所列之 Microsoft 產品中。

其他相關資訊

取得更多資訊有關這項弱點請造訪下列 Microsoft 網站]:
http://www.microsoft.com/technet/security/bulletin/MS02-058.mspx
取得更多資訊有關此補充程式修正了按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
328389OLEXP: Outlook Express 5.5 彙總套件

屬性

文章編號: 328676 - 上次校閱: 2014年2月27日 - 版次: 3.13
這篇文章中的資訊適用於:
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
關鍵字:?
kbnosurvey kbarchive kbmt atdownload kbbug kbfix kbie600presp1fix kbsecbulletin kbsecurity kbsecvulnerability kbwinxpsp1fix kbie600sp1fix KB328676 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:328676
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com