MS03-014 : Correctif cumulatif pour Outlook Express daté d'avril 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 330994 - Voir les produits auxquels s'applique cet article
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
Pour plus d'informations sur les différences entre les clients de messagerie Microsoft Outlook Express et Microsoft Outlook, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
257824 OL2000 : Différences entre Outlook et Outlook Express
Agrandir tout | Réduire tout

Sommaire

Résumé

Microsoft a publié un correctif cumulatif pour Microsoft Outlook Express. Ce correctif inclut des mises à jour pour les problèmes décrits dans l'article suivant de la Base de connaissances Microsoft :

328676 MS02-058 : OLEXP : Un tampon non contrôlé dans l'analyse S/MIME d'Outlook Express peut constituer un risque pour le système
Le correctif décrit dans cet article s'applique aux versions suivantes de Microsoft Outlook Express :
  • Microsoft Outlook Express 6.0 Service Pack 1, lorsqu'il est utilisé avec Internet Explorer 6.0 Service Pack 1 sur Microsoft Windows 98 Deuxième Édition, Microsoft Windows Millennium Edition, Microsoft Windows NT 4.0 Service Pack 6a, Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, Microsoft Windows XP (versions 32 bits uniquement) et Microsoft Windows XP Service Pack 1 (versions 32 bits ou 64 bits).
  • Microsoft Outlook Express 6.0, lorsqu'il est utilisé avec Internet Explorer 6.0 sur le système d'exploitation Windows XP (versions 32 bits uniquement).
  • Microsoft Outlook Express 5.5 Service Pack 2, lorsqu'il est utilisé avec Internet Explorer 5.5 Service Pack 2 sur Windows 98 Deuxième Édition, Windows Millennium Edition, Windows NT 4.0 Service Pack 6a, Windows 2000 Service Pack 2 et Windows 2000 Service Pack 3, ou Internet Explorer 5.01 Service Pack 3 sur Windows 2000 Service Pack 3.
Le correctif décrit dans cet article offre une protection contre la vulnérabilité inhérente au gestionnaire d'URL MHTML qui permet à un fichier pouvant être rendu au format texte de s'ouvrir et de faire partie intégrante d'une page dans Microsoft Internet Explorer. MHTML correspond à l'encapsulation MIME d'HTML d'agrégation (MIME Encapsulation of Aggregate HTML). MHTML est une norme Internet définissant la structure MIME permettant d'envoyer du contenu HTML dans les corps de messages électroniques. Le gestionnaire d'URL MHTML de Windows fait partie intégrante d'Outlook Express et offre un type d'URL pouvant être utilisé sur l'ordinateur local. Ce type d'URL (MHTML://) permet l'ouverture de documents MHTML à partir d'une ligne de commande, d'Internet Explorer, de la boîte de dialogue Exécuter du menu Démarrer, ou à l'aide de l'Explorateur Windows.

En raison de cette vulnérabilité inhérente au gestionnaire d'URL MHTML, il est possible de créer une URL (Uniform Resource Locator) qui se réfère à un fichier texte stocké sur l'ordinateur local et de rendre ce fichier au format HTML. Si le fichier texte contient un script, ce script s'exécute en cas d'accès à ce fichier. Le fichier devant se trouver sur l'ordinateur local, il est rendu dans la zone de sécurité Ordinateur local. Les fichiers ouverts dans la zone de sécurité Ordinateur local font l'objet de limitations moindres que les fichiers ouverts dans d'autres zones de sécurité.

En appliquant cette méthode, un agresseur peut créer une URL et, soit l'héberger sur un site Web, soit l'envoyer dans un message électronique. Dans un scénario Web où un utilisateur clique sur l'URL hébergée sur un site Web, un agresseur peut lire ou ouvrir des fichiers déjà présents sur l'ordinateur local. Dans un message électronique destiné à l'attaque, si l'utilisateur utilise Outlook Express 6.0 ou Microsoft Outlook 2002 dans la configuration par défaut, ou Microsoft Outlook 98 ou Microsoft Outlook 2000 conjointement avec la mise à jour de sécurité de la messagerie électronique Outlook, il est impossible d'automatiser une attaque et l'utilisateur doit toujours cliquer sur l'URL envoyée dans le message électronique. En revanche, si l'utilisateur n'utilise pas Outlook Express 6.0 ni Outlook 2002 dans la configuration par défaut, ni Microsoft Outlook 98 ni Microsoft Outlook 2000 conjointement avec la mise à jour de sécurité de la messagerie électronique Outlook, l'agresseur peut déclencher une attaque automatiquement sans que l'utilisateur n'ait à cliquer sur une URL contenue dans un message électronique. Dans les scénarios Web et les scénarios de messages électroniques, toute restriction de droits utilisateur ne limite pas l'étendue du script de l'agresseur.

L'application du correctif décrit dans l'article suivant de la Base de connaissances Microsoft permettra d'ôter la possibilité à un agresseur de charger un fichier sur l'ordinateur d'un utilisateur et empêchera la transmission de paramètres à un fichier exécutable.
810847 MS03-004 : Correctif cumulatif pour Internet Explorer de février 2003
Cela signifie qu'un agresseur peut uniquement démarrer un programme déjà présent sur l'ordinateur (si l'agresseur connaît l'emplacement de ce programme) et ne peut pas transmettre des paramètres que doit exécuter ce programme.

MHTML est une norme dans le cadre de l'échange de contenu HTML dans un message électronique et, en conséquence, la fonction de gestionnaire d'URL MHTML a été implémentée dans Outlook Express. Internet Explorer peut également rendre du contenu MHTML. Toutefois, la fonction MHTML n'a pas été implémentée séparément dans Internet Explorer : elle utilise Outlook Express pour rendre du contenu MHTML.

Pour plus d'informations sur ce correctif, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/securite/bulletins/2003/ms03-014.aspx

Plus d'informations

Informations sur le téléchargement

Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft :
Réduire cette imageAgrandir cette image
Télécharger
Télécharger le package 330994 maintenant. Date de publication : 23.04.03

Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
119591 Comment obtenir des fichiers de support technique Microsoft auprès des services en ligne
Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.

Informations sur le Service Pack

Pour résoudre ce problème, procurez-vous le dernier Service Pack Windows 2000. Pour plus d'informations, cliquez sur le numéro suivant pour afficher l'article correspondant dans la Base de connaissances Microsoft.
260910 Comment faire pour obtenir le dernier Service Pack Windows 2000

Informations sur le correctif

Informations sur l'installation

Vous devez avoir ouvert une session en tant qu'administrateur pour installer ce correctif. Pour vous assurer que le correctif est installé sur votre ordinateur, vérifiez les fichiers mentionnés dans la section « Informations sur les fichiers » de cet article.

Conditions préalables

Outlook Express 6.0 Service Pack 1

Pour installer la version Outlook Express 6.0 Service Pack 1 de ce correctif, vous devez exécuter Microsoft Outlook Express 6.0 Service Pack 1 sur un ordinateur Microsoft Windows XP Service Pack 1 (versions 32 bits ou 64 bits).

Outlook Express 6.0

Pour installer la version Outlook Express 6.0 de ce correctif, vous devez exécuter Outlook Express 6.0 sur une version 32 bits de Windows XP.

Outlook Express 5.5 Service Pack 2

Pour installer la version Microsoft Outlook Express 5.5 Service Pack 2 de ce correctif, vous devez exécuter Microsoft Outlook Express 5.5 Service Pack 2 sur un ordinateur Microsoft Windows 2000 Service Pack 3.
Pour plus d'informations, cliquez sur les numéros ci-dessous pour afficher les articles correspondants dans la Base de connaissances Microsoft.
328548 Comment faire pour obtenir le dernier Service Pack Internet Explorer 6
322389 Comment faire pour obtenir le dernier Service Pack Windows XP
260910 Comment faire pour obtenir le dernier Service Pack Windows 2000

Conditions de redémarrage

Lorsque vous installez les correctifs décrits dans cet article, le redémarrage de l'ordinateur n'est pas nécessaire lorsque les conditions suivantes sont remplies :
  • Vous fermez Outlook Express avant d'installer le correctif.
  • La boîte de dialogue À propos de Internet Explorer n'est pas ouverte lorsque vous installez le correctif.

État précédent de la mise à jour

Ce correctif remplace le bulletin de sécurité Microsoft MS02-058 pour Outlook Express et la mise à jour cumulative pour Outlook Express 6.0 SP1.

Commutateurs d'installation

Les packages de mise à jour pour ce correctif prennent en charge les commutateurs suivants :
  • /q : indique un mode silencieux (en d'autres termes, supprime les invites) lors de l'extraction des fichiers.
  • /q:u : indique un mode silencieux utilisateur, qui affiche certaines boîtes de dialogue à l'utilisateur.
  • /q:a : indique un mode silencieux administrateur, ce qui permet de ne pas afficher de boîte de dialogue à l'utilisateur.
  • /t: chemin_d'accès : indique le dossier cible des fichiers d'extraction.
  • /c : extrait les fichiers sans les installer.
  • /c: chemin_d'accès : indique le chemin et le nom du fichier d'installation .inf ou .exe.
  • /r:n : ne redémarre jamais l'ordinateur après une installation.
  • /r:i : redémarre l'ordinateur si nécessaire. Redémarre automatiquement l'ordinateur si cela est nécessaire pour terminer une installation.
  • /r:a : redémarre toujours l'ordinateur après une installation.
  • /r:s : redémarre l'ordinateur après une installation sans formuler de demande auprès de l'utilisateur.
  • /n:v : ne vérifie pas la version. Installe le programme en remplaçant toute version précédente.
Par exemple, pour installer le correctif sans aucune intervention de l'utilisateur et sans forcer le redémarrage de l'ordinateur, exécutez la ligne de commande suivante :
q330994 /q:a /r:n

Informations sur les fichiers

La version anglaise de cette mise à jour dispose des attributs de fichier répertoriés dans le tableau suivant ou ceux d'une version ultérieure. Les date et heure de création de ces fichiers sont exprimées en temps universel coordonné (UTC). Lorsque vous affichez les informations des fichiers, les données sont converties à l'heure locale. Pour connaître le décalage entre l'heure UTC et l'heure locale, utilisez l'onglet Fuseau horaire de l'utilitaire Date et heure du Panneau de configuration.

Service Pack 1 (SP1) Internet Explorer 6 (32 bits)

   Date          Heure      Version      Taille    Nom de fichier
   --------------------------------------------------------------
   03/03/03      04:24  6.0.2800.1123    75 776    Directdb.dll
   03/03/03      04:41  6.0.2800.1165   592 384    Inetcomm.dll
   09/03/03      12:42  6.0.2800.1123    47 616    Inetres.dll
   03/03/03      09:24  6.0.2800.1123    44 032    Msident.dll
   03/03/03      03:57  6.0.2800.1123    56 832    Msimn.exe
   11/10/02      02:08  6.0.2800.1158 1 174 528    Msoe.dll
   03/03/03      03:57  6.0.2800.1123   228 864    Msoeacct.dll
   03/03/03      03:57  6.0.2800.1123 2 479 616    Msoeacct.dll
   03/03/03      03:57  6.0.2800.1123    91 136    Msoert2.dll
   03/03/03      03:57  6.0.2800.1123    93 184    Oeimport.dll
   03/03/03      03:57  6.0.2800.1123    55 808    Oemig50.exe
   03/03/03      03:57  6.0.2800.1123    31 744    Oemiglib.dll
   03/03/03      03:57  6.0.2800.1123    42 496    Wab.exe
   03/03/03      03:57  6.0.2800.1123   462 848    Wab32.dll
   03/03/03      03:57  6.0.2800.1123    30 208    Wabfind.dll
   03/03/03      03:57  6.0.2800.1123    77 824    Wabimp.dll
   03/03/03      03:57  6.0.2800.1123    27 648    Wabmig.exe

Internet Explorer 6 SP1 (64 bits)

   Date      Heure     Version       Taille    Nom de fichier
   --------------------------------------------------------------
   05/11/02  09:53  6.0.2800.1123    251 904   Directdb.dll
   19/02/03  03:19  6.0.2800.1165  2 197 504   Inetcomm.dll
   05/11/02  09:53  6.0.2800.1123     47 104   Inetres.dll
   05/11/02  09:53  6.0.2800.1123     63 488   Msimn.exe
   19/02/03  03:37  6.0.2800.1158  4 482 560   Msoe.dll
   05/11/02  09:53  6.0.2800.1123    729 088   Msoeacct.dll
   05/11/02  09:54  6.0.2800.1123  2 479 104   Msoeres.dll
   05/11/02  09:53  6.0.2800.1123    300 032   Msoert2.dll
   05/11/02  09:53  6.0.2800.1123    302 080   Oeimport.dll
   05/11/02  09:54  6.0.2800.1123    142 336   Oemig50.exe
   05/11/02  09:54  6.0.2800.1123     73 728   Oemiglib.dll
   05/11/02  09:53  6.0.2800.1123     87 040   Wab.exe
   05/11/02  09:53  6.0.2800.1123  1 773 568   Wab32.dll
   05/11/02  09:53  6.0.2800.1123     38 912   Wabfind.dll
   05/11/02  09:53  6.0.2800.1123    240 640   Wabimp.dll
   05/11/02  09:53  6.0.2800.1123     71 680   Wabmig.exe

Internet Explorer 6

   Date     Heure        Version     Taille    Nom de fichier
   --------------------------------------------------------------
   17/03/03 11:44  6.0.2727.1300    594 944   Inetcomm.dll
   17/03/03 11:44  6.0.2720.3000  1 175 040   Msoe.dll

Internet Explorer 5.5 SP2

   Date      Heure  Version           Taille   Nom de fichier
   --------------------------------------------------------------
   30/01/03  04:26  5.50.4925.2800   572 176   Inetcomm.dll
   15/10/02  07:15  5.50.4922.1500 1 146 640   Msoe.dll
Remarque Ce correctif ne contient pas de dépendances de fichier.

Informations sur la suppression

Pour supprimer ce correctif de sécurité, utilisez l'outil Ajout/Suppression de programmes du Panneau de configuration. Cliquez sur Outlook Express Update Q330994 (Mise à jour Outlook Express Q330994), puis sur Modifier/Supprimer (ou sur Ajouter/Supprimer).

Propriétés

Numéro d'article: 330994 - Dernière mise à jour: lundi 30 avril 2007 - Version: 4.7
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Outlook Express 6.0 sur le système suivant
    • Microsoft Windows XP Embedded
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 2000 Service Pack 2
    • Microsoft Windows 98 Deuxième Édition
    • Microsoft Windows NT 4.0 Service Pack 6a
    • Microsoft Windows XP Professional
    • Microsoft Windows Millennium Edition
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
Mots-clés : 
kbwin2ksp4fix kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability KB330994
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com