MS03-014: kwiecień 2003, poprawka zbiorcza dla programu Outlook Express

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 330994 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Aby uzyskać informacje dotyczące różnic między klientami e-mail programu Microsoft Outlook i programu Microsoft Outlook Express, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
257824 Różnice między programami Outlook i Outlook Express
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Firma Microsoft wydała zbiorczą poprawkę dla programu Outlook Express. Zawiera ona aktualizacje dotyczące problemów, które opisano w następującym artykule z bazy wiedzy Microsoft Knowledge Base:

328676 MS02-058: OLEXP: Niesprawdzony bufor w protokole analizy S/MIME programu Outlook Express może spowodować uszkodzenie systemu
Poprawka opisana w tym artykule stosuje się do następujących wersji programu Microsoft Outlook Express:
  • Microsoft Outlook Express 6.0 z dodatkiem Service Pack 1, jeżeli jest używana z programem Internet Explorer 6.0 z dodatkiem Service Pack 1 w systemie Microsoft Windows 98 Wydanie drugie, Microsoft Windows Millennium Edition, Microsoft Windows NT 4.0 z dodatkiem Service Pack 6a, Microsoft Windows 2000 z dodatkiem Service Pack 2, Microsoft Windows 2000 z dodatkiem Service Pack 3, Microsoft Windows XP (tylko wersje 32-bitowe) lub Microsoft Windows XP z dodatkiem Service Pack 1 (wersje 32-bitowe lub 64-bitowe).
  • Microsoft Outlook Express 6.0, jeśli jest używana z programem Internet Explorer 6.0 w systemie operacyjnym Windows XP (tylko wersje 32-bitowe).
  • Microsoft Outlook Express 5.5 z dodatkiem Service Pack 2, jeśli jest używana z programem Internet Explorer 5.5 z dodatkiem Service Pack 2 w systemie Windows 98 Wydanie drugie, Windows Millennium Edition, Windows NT 4.0 z dodatkiem Service Pack 6a, Windows 2000 z dodatkiem Service Pack 2 lub Windows 2000 z dodatkiem Service Pack 3 albo z programem Internet Explorer 5.01 z dodatkiem Service Pack 3 w systemie Windows 2000 z dodatkiem Service Pack 3.
Poprawka opisana w tym artykule pomaga ochronić komputer przed luką istniejącą w procedurze obsługi adresów URL typu MHTML, polegającą na tym, że w przypadku dowolnego pliku, który może być renderowany jako tekst, procedura obsługi adresów URL typu MHTML pozwala na jego otwarcie i renderowanie jako fragmentu strony w programie Microsoft Internet Explorer. MHTML to skrót nazwy MIME Encapsulation of Aggregate HTML. Jest to standard internetowy, który definiuje strukturę MIME używaną do wysyłania zawartości HTML w treści wiadomości e-mail. Procedura obsługi adresów URL typu MHTML w systemie Windows jest częścią programu Outlook Express i dostarcza typ adresu URL, z którego można korzystać na komputerze lokalnym. Ten typ adresu URL (MHTML://) pozwala na otwieranie dokumentów MHTML z wiersza polecenia, z programu Internet Explorer, z okna dialogowego Uruchamianie (dostępnego z menu Start) lub przy użyciu Eksploratora Windows.

Ta luka w procedurze obsługi adresów URL typu MHTML umożliwia skonstruowanie adresu URL, który odwoływałby się do pliku tekstowego przechowywanego na komputerze lokalnym i powodował renderowanie tego pliku jako zawartości HTML. Jeśli plik zawierałby skrypt, skrypt ten zostałby uruchomiony w momencie uzyskania dostępu do pliku. Plik znajdowałby się na komputerze lokalnym, więc byłby renderowany w strefie zabezpieczeń Komputer lokalny. Pliki otwierane w strefie zabezpieczeń Komputer lokalny podlegają mniejszym ograniczeniom niż pliki otwierane w innych strefach zabezpieczeń.

Stosując tę metodę, atakujący mógłby podjąć próbę skonstruowania odpowiedniego adresu URL i umieszczenia go w witrynie sieci Web lub wysłania w wiadomości e-mail. W scenariuszu opartym na sieci Web, w którym użytkownik klika łącze URL w witrynie sieci Web, atakujący mógłby odczytać lub uruchomić pliki już znajdujące się na komputerze lokalnym. W przypadku ataku opartego na wiadomości e-mail, jeśli użytkownik używałby programu Outlook Express 6.0 lub Microsoft Outlook 2002 w jego konfiguracji domyślnej albo programu Microsoft Outlook 98 lub Microsoft Outlook 2000 z aktualizacją zabezpieczeń poczty e-mail dla programu Outlook, atak nie mógłby zostać zautomatyzowany i użytkownik nadal musiałby kliknąć łącze URL wysłane w wiadomości e-mail. Jeśli jednak użytkownik nie używałby programu Outlook Express 6.0 lub Outlook 2002 w jego konfiguracji domyślnej ani programu Outlook 98 lub Outlook 2000 z aktualizacją zabezpieczeń poczty e-mail dla programu Outlook, atakujący mógłby przeprowadzić atak automatyczny, nie wymagający kliknięcia łącza URL w wiadomości e-mail. W obu scenariuszach, opartym na sieci Web i na wiadomości e-mail, wszelkie ograniczenia uprawnień użytkownika ograniczałyby również możliwości skryptu napisanego przez atakującego.

Zastosowanie poprawki opisanej w następującym artykule z bazy wiedzy Microsoft Knowledge Base pomaga zapobiec możliwości załadowania przez atakującego pliku na komputer użytkownika i przekazania parametrów do pliku wykonywalnego.
810847 MS03-004: Luty 2003, Zbiorcza poprawka dla programu Internet Explorer
Oznacza to, że atakujący mógłby jedynie uruchomić program, który już istnieje na komputerze (jeśli znałby lokalizację programu), i nie byłby w stanie przekazać do tego programu żadnych parametrów startowych.

MHTML to standard wymiany zawartości HTML w wiadomościach e-mail, więc procedurę obsługi adresów URL typu MHTML zaimplementowano w programie Outlook Express. Program Internet Explorer również może renderować zawartość MHTML. Jednak funkcji MHTML nie zaimplementowano osobno w programie Internet Explorer — do renderowania zawartości HTML używa on programu Outlook Express.

Aby uzyskać więcej informacji dotyczących tej poprawki, odwiedź następującą witrynę firmy Microsoft w sieci Web:
http://www.microsoft.com/technet/security/bulletin/MS03-014.mspx

Więcej informacji

Informacje o pobieraniu

Następujący plik jest dostępny do pobrania w Centrum pobierania firmy Microsoft:
Zwiń ten obrazekRozwiń ten obrazek
Pobierz
Pobierz pakiet 330994 teraz. Data wydania: 23 kwietnia 2003 r.

Aby uzyskać więcej informacji dotyczących sposobu pobierania plików Pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft przeskanowała ten plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów dostępnego w dniu opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonym poziomie zabezpieczeń, co zapobiega wprowadzaniu nieautoryzowanych zmian w pliku.

Informacje dotyczące dodatku Service Pack

Aby rozwiązać ten problem, należy uzyskać najnowszy dodatek Service Pack dla systemu Microsoft Windows 2000. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
260910 Jak uzyskać najnowszy dodatek Service Pack dla systemu Windows 2000

Informacje o poprawce

Informacje o instalacji

Aby zainstalować tę poprawkę, należy zalogować się jako administrator. Aby zweryfikować, że ta poprawka jest zainstalowana na danym komputerze, należy sprawdzić pliki uwzględnione w sekcji „Informacje dotyczące plików” w tym artykule.

Wymagania wstępne

Program Outlook Express 6.0 z dodatkiem Service Pack 1

Aby zainstalować wersję tej poprawki przeznaczoną dla programu Outlook Express 6.0 z dodatkiem Service Pack 1, należy używać programu Microsoft Outlook Express 6.0 z dodatkiem Service Pack 1 uruchomionego na komputerze z systemem Microsoft Windows XP z dodatkiem Service Pack 1 (wersje 32-bitowe lub 64-bitowe).

Program Outlook Express 6.0

Aby zainstalować wersję tej poprawki przeznaczoną dla programu Outlook Express 6.0, należy używać programu Outlook Express 6.0 uruchomionego w 32-bitowej wersji systemu Windows XP.

Program Outlook Express 5.5 z dodatkiem Service Pack 2

Aby zainstalować wersję tej poprawki przeznaczoną dla programu Microsoft Outlook Express 5.5 z dodatkiem Service Pack 2 należy używać programu Microsoft Outlook Express 5.5 z dodatkiem Service Pack 2 uruchomionego na komputerze z systemem Microsoft Windows 2000 z dodatkiem Service Pack 3.
Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
328548 Jak uzyskać najnowszy dodatek Service Pack dla programu Internet Explorer 6
322389 Jak uzyskać najnowszy dodatek Service Pack dla systemu Windows XP
260910 Jak uzyskać najnowszy dodatek Service Pack dla systemu Windows 2000

Wymaganie ponownego rozruchu

W przypadku instalowania poprawek opisanych w tym artykule nie jest konieczny ponowny rozruch komputera, jeżeli są spełnione następujące warunki:
  • Przed zainstalowaniem poprawki zamknięto program Outlook Express.
  • Podczas instalowania poprawki okno dialogowe Internet Explorer — informacje jest zamknięte.

Stan poprzednich aktualizacji

Ta poprawka zastępuje biuletyn zabezpieczeń MS02-058 firmy Microsoft dla programu Outlook Express i aktualizację zbiorczą dla programu Outlook Express 6.0 z dodatkiem SP1.

Przełączniki instalacji

Pakiety aktualizacji dla tej poprawki obsługują następujące przełączniki:
  • /q — Określa tryb cichy (innymi słowy, powoduje pomijanie monitów) podczas wyodrębniania plików.
  • /q:u — Określa tryb cichy użytkownika, w którym użytkownik widzi niektóre okna dialogowe.
  • /q:a — Określa tryb cichy administratora, w którym użytkownik nie widzi żadnych okien dialogowych.
  • /t: ścieżka — Określa folder docelowy dla wyodrębnianych plików.
  • /c — Wyodrębnia pliki bez ich instalowania.
  • /c: ścieżka — Określa ścieżkę i nazwę pliku inf lub exe Instalatora.
  • /r:n — Nigdy nie uruchamia ponownie komputera po zakończeniu instalacji.
  • /r:i — Uruchamia ponownie komputer, jeśli jest to wymagane. Automatycznie uruchamia ponownie komputer, jeśli ponowne uruchomienie jest wymagane do ukończenia instalacji.
  • /r:a — Zawsze uruchamia ponownie komputer po zakończeniu instalacji.
  • /r:s — Uruchamia ponownie komputer po zakończeniu instalacji bez monitowania użytkownika.
  • /n:v — Bez sprawdzania wersji. Instaluje program, zastępując wszystkie poprzednie wersje.
Na przykład za pomocą następującego wiersza polecenia można zainstalować tę poprawkę bez jakiejkolwiek interwencji ze strony użytkownika i bez wymuszania ponownego uruchomienia komputera:
q330994 /q:a /r:n

Informacje dotyczące plików

Wersja angielskojęzyczna tej aktualizacji ma atrybuty plików pokazane w poniższej tabeli (lub nowsze). Daty i godziny odpowiadające tym plikom zostały podane w czasie UTC (Coordinated Universal Time). Są one zamieniane na czas lokalny po wyświetleniu informacji o pliku. Aby zobaczyć różnicę między czasem UTC a czasem lokalnym, należy skorzystać z karty Strefa czasowa w aplecie Data i godzina w Panelu sterowania.

Program Internet Explorer 6 z dodatkiem SP1 (wersja 32-bitowa)

   Data         Godzina   Wersja           Rozmiar  azwa pliku
   -------------------------------------------------------------
   03-Mar-2003  04:24:00  6.0.2800.1123     75 776  Directdb.dll
   03-mar-2003  04:41     6.0.2800.1165    592 384  Inetcomm.dll
   09-mar-2003  12:42     6.0.2800.1123     47 616  Inetres.dll
   03-Mar-2003  09:24:00  6.0.2800.1123     44 032  Msident.dll
   03-Mar-2003  03:57:00  6.0.2800.1123     56 832  Msimn.exe
   11-paź-2002  02:08     6.0.2800.1158  1 174 528  Msoe.dll
   03-Mar-2003  03:57:00  6.0.2800.1123    228 864  Msoeacct.dll
   03-mar-2003  03:57     6.0.2800.1123  2 479 616  Msoeres.dll
   03-Mar-2003  03:57:00  6.0.2800.1123     91 136  Msoert2.dll
   03-Mar-2003  03:57:00  6.0.2800.1123     93 184  Oeimport.dll
   03-Mar-2003  03:57:00  6.0.2800.1123     55 808  Oemig50.exe
   03-Mar-2003  03:57:00  6.0.2800.1123     31 744  Oemiglib.dll
   03-Mar-2003  03:57:00  6.0.2800.1123     42 496  Wab.exe
   03-mar-2003  03:57     6.0.2800.1123    462 848  Wab32.dll
   03-Mar-2003  03:57:00  6.0.2800.1123     30 208  Wabfind.dll
   03-Mar-2003  03:57:00  6.0.2800.1123     77 824  Wabimp.dll
   03-mar-2003  03:57     6.0.2800.1123     27 648  Wabmig.exe

Program Internet Explorer 6 z dodatkiem SP1 (wersja 64-bitowa)

   Data         Godzina   Wersja           Rozmiar  Nazwa pliku
   -------------------------------------------------------------
   05-lis-2002	 09:53    6.0.2800.1123    251 904  Directdb.dll
   19-lut-2003   03:19    6.0.2800.1165  2 197 504  Inetcomm.dll
   05-lis-2002	 09:53    6.0.2800.1123     47 104  Inetres.dll
   05-lis-2002	 09:53    6.0.2800.1123     63 488  Msimn.exe
   19-lut-2003   03:37    6.0.2800.1158  4 482 560  Msoe.dll
   05-lis-2002	 09:53    6.0.2800.1123    729 088  Msoeacct.dll
   05-lis-2002	 09:54    6.0.2800.1123  2 479 104  Msoeres.dll
   05-lis-2002	 09:53    6.0.2800.1123    300 032  Msoert2.dll
   05-lis-2002	 09:53    6.0.2800.1123    302 080  Oeimport.dll
   05-lis-2002	 09:54    6.0.2800.1123    142 336  Oemig50.exe
   05-lis-2002	 09:54    6.0.2800.1123     73 728  Oemiglib.dll
   05-lis-2002	 09:53    6.0.2800.1123     87 040  Wab.exe
   05-lis-2002	 09:53    6.0.2800.1123  1 773 568  Wab32.dll
   05-lis-2002	 09:53    6.0.2800.1123     38 912  Wabfind.dll
   05-lis-2002	 09:53    6.0.2800.1123    240 640  Wabimp.dll
   05-lis-2002	 09:53    6.0.2800.1123     71 680  Wabmig.exe

Program Internet Explorer 6

   Data         Godzina   Wersja           Rozmiar  Nazwa pliku
   -------------------------------------------------------------
   17-mar-2003  11:44     6.0.2727.1300    594 944  Inetcomm.dll
   17-mar-2003  11:44 	  6.0.2720.3000  1 175 040  Msoe.dll

Program Internet Explorer 5.5 z dodatkiem SP2

   Data         Godzina   Wersja            Rozmiar  Nazwa pliku
   --------------------------------------------------------------
   30-sty-2003  04:26     5.50.4925.2800    572 176  Inetcomm.dll
   15-paź-2002  07:15  	  5.50.4922.1500  1 146 640  Msoe.dll
Uwaga: Ta poprawka nie zawiera zależności między plikami.

Informacje o usuwaniu

Aby usunąć tę poprawkę, należy użyć narzędzia Dodaj/Usuń programy w Panelu sterowania. Kliknij pozycję Outlook Express Update Q330994, a następnie kliknij przycisk Zmień/Usuń (lub Dodaj/Usuń).

Właściwości

Numer ID artykułu: 330994 - Ostatnia weryfikacja: 30 kwietnia 2007 - Weryfikacja: 4.7
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Outlook Express 6.0 na następujących platformach
    • Microsoft Windows XP Embedded
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 2000 Service Pack 2
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows NT 4.0 Service Pack 6a
    • Microsoft Windows XP Professional
    • Microsoft Windows Millennium Edition
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
Słowa kluczowe: 
kbwin2ksp4fix kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability KB330994

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com