MS03-014: Kumulativer Patch für Outlook Express, April 2003

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 330994 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
330994 MS03-014: April, 2003, Cumulative patch for Outlook Express
Weitere Informationen zu den Unterschieden zwischen den E-Mail-Clients Microsoft Outlook und Microsoft Outlook Express finden Sie im folgenden Artikel der Microsoft Knowledge Base:
257824 Unterschiede zwischen Outlook und Outlook Express
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Microsoft hat einen kumulativen Patch für Microsoft Outlook Express zur Verfügung gestellt. Dieser kumulative Patch behebt die im folgenden Microsoft Knowledge Base-Artikel beschriebenen Probleme:

328676 MS02-058: OLEXP: Ungeprüfter Puffer bei S/MIME-Analyse in Outlook Express kann Systemsicherheit gefährden
Der in diesem Artikel beschriebene Patch gilt für folgende Versionen von Microsoft Outlook Express:
  • Microsoft Outlook Express 6.0 Service Pack 1 in Verbindung mit Internet Explorer 6.0 Service Pack 1 unter Microsoft Windows 98 Second Edition, Microsoft Windows Millennium Edition, Microsoft Windows NT 4.0 Service Pack 6a, Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, Microsoft Windows XP (nur 32-Bit-Versionen) und Microsoft Windows XP Service Pack 1 (32-Bit- oder 64-Bit-Versionen)
  • Microsoft Outlook Express 6.0 in Verbindung mit Internet Explorer 6.0 unter dem Betriebssystem Microsoft Windows XP (nur 32-Bit-Versionen)
  • Microsoft Outlook Express 5.5 Service Pack 2 in Verbindung mit Internet Explorer 5.5 Service Pack 2 unter Windows 98 Second Edition, Windows Millennium Edition, Windows NT 4.0 Service Pack 6a, Windows 2000 Service Pack 2 und Windows 2000 Service Pack 3 bzw. Internet Explorer 5.01 Service Pack 3 unter Windows 2000 Service Pack 3
Der in diesem Artikel beschriebene Patch bietet Schutz gegen eine Sicherheitsanfälligkeit im MHMTL-URL-Handler. Diese Sicherheitsanfälligkeit besteht darin, dass der MHTML-URL-Handler zulässt, dass eine beliebige Datei, die als Text dargestellt werden kann, geöffnet werden kann und als Teil einer Seite im Microsoft Internet Explorer verarbeitet werden kann. MHTML ist die Abkürzung für "MIME Encapsulation of Aggregate HTML". MHTML ist ein Internetstandard, der die MIME-Struktur definiert, die zum Senden von HTML-Inhalten in E-Mail-Nachrichtentexten verwendet wird. Der MHTML-URL-Handler in Windows ist Bestandteil von Outlook Express und bietet einen URL-Typ, der auf dem lokalen Computer verwendet werden kann. Dieser URL-Typ (MHTML://) ermöglicht das Öffnen von MHTML-Dokumenten aus einer Befehlszeile, aus dem Internet Explorer, aus dem Dialogfeld Ausführen im Menü Start oder über den Windows Explorer.

Aufgrund dieser Sicherheitsanfälligkeit im MHTML-URL-Handler ist es möglich, einen URL (Uniform Resource Locator) zu erstellen, der auf eine auf einem lokalen Computer gespeicherte Textdatei verweist, und diese Datei als HTML-Code zu verarbeiten. Wenn eine solche Textdatei ein Skript enthält, würde das Skript beim Zugriff auf die Datei ausgeführt. Da sich die Datei auf dem lokalen Computer befindet, würde sie in der Sicherheitszone "Arbeitsplatz" ausgeführt werden. Dateien, die in der Sicherheitszone "Arbeitsplatz" geöffnet werden, unterliegen weniger Beschränkungen als Dateien, die in anderen Sicherheitszonen geöffnet werden.

Mit dieser Methode könnte ein Angreifer versuchen, einen URL zu erstellen und ihn auf einer Website bereitzustellen oder ihn über eine E-Mail-Nachricht zu senden. Wenn der Benutzer im Web-Szenario den URL auf einer Website anklickt, können alle Dateien, die sich bereits auf dem lokalen Computer befinden, von einem Angreifer gelesen oder ausgeführt werden. Verwendet der Benutzer bei einem E-Mail-basierten Angriff Outlook Express 6.0 oder Microsoft Outlook 2002 in der Standardkonfiguration oder Microsoft Outlook 98 oder Microsoft Outlook 2000 mit dem Outlook-E-Mail-Sicherheitsupdate, kann ein Angriff nicht automatisch ausgeführt werden, und der Benutzer muss den in der E-Mail-Nachricht gesendeten URL noch anklicken. Wenn der Benutzer jedoch nicht die oben genannten Programme in den entsprechenden Versionen verwendet, kann der Angreifer eine automatische Ausführung von Aktionen veranlassen, ohne dass der Benutzer den entsprechenden URL in der E-Mail anklicken muss. Sowohl beim Web-Szenario als auch beim E-Mail-Szenario würden jegliche Einschränkungen der Berechtigungen des Benutzers auch die Möglichkeiten des Angreiferskripts beschränken.

Wenn Sie den Patch aus dem folgenden Artikel der Microsoft Knowledge Base anwenden, wird dadurch weitestgehend verhindert, dass ein Angreifer fremde Dateien auf den Computer des Benutzers herunterlädt oder Parameter an eine ausführbare Datei übergibt.
810847 MS03-004: Kumulativer Patch für Internet Explorer, Februar 2003
Das bedeutet, dass ein Angreifer nur ein bereits auf dem Computer vorhandenes Programm starten kann (sofern ihm der Speicherort dieses Programms bekannt ist) und keine Parameter zur Ausführung an das Programm übergeben kann.

MHTML ist ein Standard zum Austausch von HTML-Inhalten per E-Mail. Deshalb wurde die MTHML-URL-Handler-Funktion in Outlook Express implementiert. Internet Explorer kann MHTML-Inhalte ebenfalls verarbeiten. Die MHTML-Funktion wurde jedoch nicht separat in Internet Explorer implementiert - er verwendet Outlook Express zum Rendern der MHTML-Inhalte.

Weitere Informationen zu diesem Patch finden Sie auf folgender Website von Microsoft:
http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms03-014.mspx

Weitere Informationen

Informationen zum Download

Die folgende Datei steht im Microsoft Download Center zum Download zur Verfügung:
Bild minimierenBild vergrößern
Download
Paket 330994 jetzt herunterladen

Datum der Freigabe: 23.04.2003

Weitere Informationen zum Download von Microsoft Support-Dateien finden Sie im folgenden Artikel der Microsoft Knowledge Base:
119591 So erhalten Sie Microsoft Support-Dateien im Internet
Microsoft hat diese Datei auf Viren überprüft. Microsoft hat dazu die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei befindet sich auf Servern mit verstärkter Sicherheit, wodurch nicht autorisierte Änderungen an der Datei weitestgehend verhindert werden.

Service Pack-Informationen

Installieren Sie das neueste Service Pack für Microsoft Windows 2000, um dieses Problem zu beheben. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
260910 Wie Sie das neueste Service Pack für Windows 2000 erhalten

Hotfix-Informationen

Informationen zur Installation

Sie müssen als Administrator angemeldet sein, um diesen Patch installieren zu können. Überprüfen Sie die Dateien im Abschnitt "Dateiinformationen" in diesem Artikel, um sich zu vergewissern, dass der Patch auf Ihrem Computer installiert ist.

Voraussetzungen

Outlook Express 6.0 Service Pack 1

Um die Outlook Express 6.0 Service Pack 1-Version dieses Patches installieren zu können, müssen Sie Microsoft Outlook Express 6.0 Service Pack 1 auf einem Computer mit Microsoft Windows XP Service Pack 1 (32-Bit- oder 64-Bit-Version) installiert haben.

Outlook Express 6.0

Um die Outlook Express 6.0-Version dieses Patches installieren zu können, müssen Sie Outlook Express 6.0 auf einer 32-Bit-Version von Windows XP installiert haben.

Outlook Express 5.5 Service Pack 2

Um die Microsoft Outlook Express 5.5 Service Pack 2-Version dieses Patches installieren zu können, müssen Sie Microsoft Outlook Express 5.5 Service Pack 2 auf einem Computer mit Microsoft Windows 2000 Service Pack 3 installiert haben.
Weitere Informationen finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
328548 Wie Sie das neueste Service Pack für Internet Explorer 6 erhalten
322389 Wie Sie das neueste Service Pack für Windows XP erhalten
260910 Wie Sie das neueste Service Pack für Windows 2000 erhalten

Neustart

Wenn Sie die in diesem Artikel beschriebenen Patches installieren, ist unter folgenden Bedingungen kein Neustart des Computers erforderlich:
  • Sie beenden Outlook Express, bevor Sie den Patch installieren.
  • Das Dialogfeld Info (Internet Explorer) ist während der Installation des Patches nicht geöffnet.

Vorheriges Update

Dieser Patch ersetzt das Microsoft Security Bulletin MS02-058 für Outlook Express und das Kumulative Update für Outlook Express 6.0 SP1.

Setup-Parameter

Die Update-Pakete für diesen Patch unterstützen folgende Optionen:
  • /q - Dateien werden im stillen Modus extrahiert (Eingabeaufforderungen werden unterdrückt).
  • /q:u - Stiller Benutzermodus (dem Benutzer werden einige Dialogfenster angezeigt).
  • /q:a - Stiller Administratormodus (dem Benutzer werden keinerlei Dialogfenster angezeigt).
  • /t: Pfad - Legt den Zielordner für die extrahierten Dateien fest.
  • /c - Extrahiert die Dateien, ohne sie zu installieren.
  • /c:Pfad - Legt Pfad und Dateiname für die Datei "Setup.inf" oder "Setup.exe" fest.
  • /r:n - Der Computer wird nach der Installation nicht neu gestartet.
  • /r:i - Neustart des Computers, falls erforderlich. Der Computer wird automatisch neu gestartet, falls ein Neustart zum Abschluss der Installation erforderlich ist.
  • /r:a - Der Computer wird nach der Installation immer neu gestartet.
  • /r:s - Der Computer wird nach der Installation neu gestartet, ohne dass der Benutzer aufgefordert wird, dies zu bestätigen.
  • /n:v - Keine Versionsprüfung. Das Programm wird über eine beliebige Vorgängerversion installiert.
Verwenden Sie zum Beispiel folgende Befehlszeile, wenn Sie den Patch ohne jeglichen Eingriff Ihrerseits und ohne anschließenden Neustart installieren möchten:
q330994 /q:a /r:n

Dateiinformationen

Die englische Version dieses Updates weist die in der nachstehenden Tabelle aufgelisteten Dateiattribute (oder höher) auf. Datums- und Uhrzeitangaben für diese Dateien sind in der "Coordinated Universal Time" (UTC) angegeben. Wenn Sie die Dateiinformationen anzeigen, werden diese Angaben in die lokale Zeit konvertiert. Den Unterschied zwischen UTC-Zeit und lokaler Zeit können Sie in der Systemsteuerung unter "Datum und Uhrzeit" mithilfe der Angaben auf der Registerkarte Zeitzone ermitteln.

Internet Explorer 6 SP1 (32-Bit)

   Datum        Zeit   Version           Größe    Dateiname
   --------------------------------------------------------------
   03.03.2003   04:24  6.0.2800.1123    75.776    Directdb.dll
   03.03.2003   04:41  6.0.2800.1165   592.384    Inetcomm.dll
   09.03.2003   12:42  6.0.2800.1123    47.616    Inetres.dll
   03.03.2003   09:24  6.0.2800.1123    44.032    Msident.dll
   03.03.2003   03:57  6.0.2800.1123    56.832    Msimn.exe
   11.10.2002   02:08  6.0.2800.1158 1.174.528    Msoe.dll
   03.03.2003   03:57  6.0.2800.1123   228.864    Msoeacct.dll
   03.03.2003   03:57  6.0.2800.1123 2.479.616    Msoeres.dll
   03.03.2003   03:57  6.0.2800.1123    91.136    Msoert2.dll
   03.03.2003   03:57  6.0.2800.1123    93.184    Oeimport.dll
   03.03.2003   03:57  6.0.2800.1123    55.808    Oemig50.exe
   03.03.2003   03:57  6.0.2800.1123    31.744    Oemiglib.dll
   03.03.2003   03:57  6.0.2800.1123    42.496    Wab.exe
   03.03.2003   03:57  6.0.2800.1123   462.848    Wab32.dll
   03.03.2003   03:57  6.0.2800.1123    30.208    Wabfind.dll
   03.03.2003   03:57  6.0.2800.1123    77.824    Wabimp.dll
   03.03.2003   03:57  6.0.2800.1123    27.648    Wabmig.ex

Internet Explorer 6 SP1 (64-Bit)

   Datum         Zeit   Version            Größe   Dateiname
   --------------------------------------------------------------
   05.11.2002 	 09:53  6.0.2800.1123    251.904   Directdb.dll
   19.02.2003    03:19  6.0.2800.1165  2.197.504   Inetcomm.dll
   05.11.2002 	 09:53  6.0.2800.1123     47.104   Inetres.dll
   05.11.2002 	 09:53  6.0.2800.1123     63.488   Msimn.exe
   19.02.2003    03:37  6.0.2800.1158  4.482.560   Msoe.dll
   05.11.2002 	 09:53  6.0.2800.1123    729.088   Msoeacct.dll
   05.11.2002 	 09:54  6.0.2800.1123  2.479.104   Msoeres.dll
   05.11.2002 	 09:53  6.0.2800.1123    300.032   Msoert2.dll
   05.11.2002 	 09:53  6.0.2800.1123    302.080   Oeimport.dll
   05.11.2002 	 09:54  6.0.2800.1123    142.336   Oemig50.exe
   05.11.2002 	 09:54  6.0.2800.1123     73.728   Oemiglib.dll
   05.11.2002 	 09:53  6.0.2800.1123     87.040   Wab.exe
   05.11.2002 	 09:53  6.0.2800.1123  1.773.568   Wab32.dll
   05.11.2002 	 09:53  6.0.2800.1123     38.912   Wabfind.dll
   05.11.2002 	 09:53  6.0.2800.1123    240.640   Wabimp.dll
   05.11.2002 	 09:53  6.0.2800.1123     71.680   Wabmig.exe

Internet Explorer 6

   Datum        Zeit   Version            Größe   Dateiname
   --------------------------------------------------------------
   17.03.2003   11:44  6.0.2727.1300    594.944   Inetcomm.dll
   17.03.2003   11:44  6.0.2720.3000  1.175.040   Msoe.dll

Internet Explorer 5.5 SP2

   Datum        Zeit   Version            Größe   Dateiname
   --------------------------------------------------------------
   30.01.2003   04:26  5.50.4925.2800   572.176   Inetcomm.dll
   15.10.2002   07:15  5.50.4922.1500 1.146.640   Msoe.dll
Hinweis: Dieser Patch enthält keine Dateiabhängigkeiten.

Informationen zur Deinstallation

Um diesen Patch zu deinstallieren, verwenden Sie das Dienstprogramm "Software" in der Systemsteuerung. Klicken Sie auf Outlook Express Update Q330994 und dann auf Ändern/Entfernen (oder Hinzufügen/Entfernen).

Eigenschaften

Artikel-ID: 330994 - Geändert am: Montag, 30. April 2007 - Version: 4.7
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Outlook Express 6.0, wenn verwendet mit:
    • Microsoft Windows XP Embedded
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 2000 Service Pack 2
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows NT 4.0 Service Pack 6a
    • Microsoft Windows XP Professional
    • Microsoft Windows Millennium Edition
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
Keywords: 
kbwin2ksp4fix kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability KB330994
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com