MS03-014: Patch cumulativa di aprile 2003 per Outlook Express

Identificativo articolo: 330994 - Visualizza i prodotti a cui si riferisce l?articolo.
Per informazioni sulle differenze tra i client di posta elettronica Microsoft Outlook Express e Microsoft Outlook, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
257824
(http://support.microsoft.com/kb/257824/ )
OL2002: Differenze tra Outlook e Outlook Express
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

Microsoft ha rilasciato una patch cumulativa per Microsoft Outlook Express che comprende gli aggiornamenti per risolvere i problemi descritti nell'articolo della Microsoft Knowledge Base riportato di seguito:

328676
(http://support.microsoft.com/kb/328676/ )
MS02-058: OLEXP: Un buffer non controllato nell'analisi S/MIME di Outlook Express potrebbe consentire di danneggiare il sistema
La patch descritta in questo articolo è applicabile alle seguenti versioni di Microsoft Outlook Express:
  • Microsoft Outlook Express 6.0 Service Pack 1, utilizzato con Internet Explorer 6.0 Service Pack 1 in Microsoft Windows 98 Seconda Edizione, Microsoft Windows Millennium Edition, Microsoft Windows NT 4.0 Service Pack 6a, Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, Microsoft Windows XP (solo versioni a 32 bit) e Microsoft Windows XP Service Pack 1 (versioni a 32 o 64 bit).
  • Microsoft Outlook Express 6.0, utilizzato con Internet Explorer 6.0 su sistema operativo Windows XP (solo versioni a 32 bit).
  • Microsoft Outlook Express 5.5 Service Pack 2, utilizzato con Internet Explorer 5.5 Service Pack 2 in Windows 98 Seconda Edizione, Windows Millennium Edition, Windows NT 4.0 Service Pack 6a, Windows 2000 Service Pack 2 e Windows 2000 Service Pack 3 o Internet Explorer 5.01 Service Pack 3 in Windows 2000 Service Pack 3.
La patch descritta nel presente articolo consente di migliorare la protezione contro un problema di vulnerabilità esistente nel gestore degli URL MHTML, secondo cui tale gestore consente di aprire qualsiasi file convertibile in formato testo e di visualizzarlo all'interno di una pagina in Microsoft Internet Explorer. MHTML, acronimo di MIME Encapsulation of Aggregate HTML, è uno standard Internet che definisce la struttura MIME utilizzata per l'invio di contenuto HTML nel corpo dei messaggi di posta elettronica. Il gestore di URL MHTML in Windows fa parte di Outlook Express e fornisce un tipo di URL utilizzabile nel computer locale. Questo tipo di URL (MHTML://) consente l'apertura, in Internet Explorer, di documenti in formato MHTML tramite riga di comando dalla finestra di dialogo Esegui del menu Start o utilizzando Esplora risorse.

A causa di questo problema di vulnerabilità del gestore di URL MHTML, è possibile creare un URL (Uniform Resource Locator) che faccia riferimento a un file di testo memorizzato nel computer locale, rendendo tale file in formato HTML. Se il file di testo contiene script, questo script verrà eseguito al momento dell'accesso al file. Essendo residente nel computer locale, il file viene eseguito nell'area di protezione del computer locale. I file aperti in quest'area di protezione sono soggetti a un minor numero di restrizioni rispetto ai file aperti in altre aree di protezione.

Sfruttando questo metodo, un operatore malintenzionato può creare un URL e memorizzarlo su un sito Web o inviarlo tramite un messaggio di posta elettronica. Nello scenario basato sul Web, in cui un utente fa clic sull'URL memorizzato in un sito Web, l'operatore malintenzionato può essere in grado di leggere o aprire file già presenti nel computer locale. In un attacco tramite posta elettronica, se l'utente utilizza la configurazione predefinita di Outlook Express 6.0 o Microsoft Outlook 2002 oppure Microsoft Outlook 98 o Microsoft Outlook 2000 insieme all'aggiornamento per la protezione della posta elettronica di Outlook, l'attacco non potrà essere svolto automaticamente e l'utente dovrebbe fare clic sull'URL inviato nel messaggio di posta elettronica. Se tuttavia non viene utilizzata la configurazione predefinita di Outlook Express 6.0 o Outlook 2002 oppure Outlook 98 o 2000 con l'aggiornamento per la protezione della posta elettronica di Outlook, l'operatore malintenzionato potrà attivare l'attacco automaticamente senza che l'utente debba fare clic sull'URL contenuto in un messaggio di posta elettronica. In entrambi i casi, qualsiasi limitazione dei privilegi dell'utente costituisce una limitazione anche delle capacità dello script inviato dall'operatore malintenzionato.

L'applicazione della patch descritta nell'articolo della Microsoft Knowledge Base riportato di seguito contribuisce a bloccare la capacità di un hacker di caricare file nel computer di un utente, impedendo il passaggio di parametri a un file eseguibile.
810847
(http://support.microsoft.com/kb/810847/ )
MS03-004: Patch cumulativa di febbraio 2003 per Internet Explorer
Ciò significa che l'operatore malintenzionato potrà solo avviare un programma già presente nel computer, ammesso che conosca il percorso esatto di tale programma, ma non sarà in grado di passare parametri al programma per l'esecuzione.

MHTML è uno standard per lo scambio di contenuto HTML tramite posta elettronica e per questo motivo la funzione del gestore di URL MHTML è stata implementata in Outlook Express. Anche tramite Internet Explorer è possibile visualizzare contenuto MHTML, tuttavia la funzione MHTML non è stata implementata separatamente in Internet Explorer. Per visualizzare contenuto MHTML viene infatti utilizzato Outlook Express.

Per ulteriori informazioni su questa patch, vedere il seguente Bollettino Microsoft sulla sicurezza:
http://www.microsoft.com/italy/technet/security/bulletin/MS03-014.mspx
(http://www.microsoft.com/italy/technet/security/bulletin/MS03-014.mspx)
Torna all'inizio | Invia suggerimenti

Informazioni

Informazioni sul download

Il seguente file è disponibile per il download dall'Area download Microsoft:
Download del pacchetto 330994
(http://www.microsoft.com/windows/ie/downloads/critical/330994/default.asp)
Data di rilascio: 23 aprile 2003

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591
(http://support.microsoft.com/kb/119591/ )
Come ottenere file di supporto Microsoft dai servizi online
Il file è stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus più recente disponibile al momento della data di pubblicazione del file. Il file è archiviato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Informazioni sul service pack

Per risolvere questo problema è necessario ottenere il Service Pack più recente per Microsoft Windows 2000. Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
260910
(http://support.microsoft.com/kb/260910/ )
Acquisizione della versione più recente del service pack di Windows 2000

Informazioni sull'hotfix

Informazioni sull'installazione

Per l'installazione di questa patch, è necessario accedere al sistema come amministratore. Per verificare che la patch sia installata nel computer in uso, controllare gli attributi dei file riportati nella sezione "Informazioni sui file" di questo articolo.

Prerequisiti

Outlook Express 6.0 Service Pack 1

Per installare la versione di questa patch per Outlook Express 6.0 Service Pack 1, è necessario che sia in esecuzione Microsoft Outlook Express 6.0 Service Pack 1 in un computer basato su Microsoft Windows XP Service Pack 1 (versioni a 32 o 64 bit).

Outlook Express 6.0

Per installare la versione per Outlook Express 6.0 di questa patch, è necessario che sia in esecuzione Outlook Express 6.0 in un computer basato su una versione a 32 bit di Windows XP.

Outlook Express 5.5 Service Pack 2

Per installare la versione di questa patch per Outlook Express 5.5 Service Pack 2, è necessario che sia in esecuzione Microsoft Outlook Express 5.5 Service Pack 2 in un computer basato su Microsoft Windows 2000 Service Pack 3.
Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
328548
(http://support.microsoft.com/kb/328548/ )
Come ottenere l'ultimo service pack per Internet Explorer 6
322389
(http://support.microsoft.com/kb/322389/ )
Come ottenere il service pack più recente per Windows XP
260910
(http://support.microsoft.com/kb/260910/ )
Acquisizione della versione più recente del service pack di Windows 2000

Requisiti per il riavvio

Quando si installano le patch descritte in questo articolo, non è necessario riavviare il computer se sono presenti le seguenti condizioni:
  • Outlook Express viene chiuso prima di installare la patch.
  • La finestra di dialogo Informazioni su Internet Explorer non è aperta quando si installa la patch.

Stato degli aggiornamenti precedenti

Questa patch ha la precedenza rispetto alla correzione fornita nel Microsoft Security Bulletin MS02-058 per Outlook Express e all'aggiornamento cumulativo per Outlook Express 6.0 SP1.

Parametri del programma di installazione

I pacchetti di aggiornamento per questa patch supportano le seguenti opzioni:
  • /q - Consente di specificare la modalità non interattiva, in cui non è visualizzata alcuna richiesta all'utente durante l'estrazione dei file.
  • /q:u - Consente di specificare la modalità non interattiva per l'utente, in cui vengono visualizzate alcune finestre di dialogo.
  • /q:a - Consente di specificare la modalità non interattiva amministratore, in cui all'utente non viene visualizzata alcuna finestra di dialogo.
  • /t: percorso - Consente di specificare la cartella di destinazione per i file estratti.
  • /c - Consente di estrarre i file senza installarli.
  • /c: percorso - Consente di specificare il percorso e il nome del file INF o EXE di installazione.
  • /r:n - Consente di non riavviare mai il computer dopo l'installazione.
  • /r:i - Consente di riavviare il computer se richiesto. Riavvia il computer automaticamente se è necessario per completare l'installazione.
  • /r:a - Consente di imporre il riavvio del computer dopo l'installazione.
  • /r:s - Consente di imporre il riavvio automatico del computer, senza previa richiesta, al termine dell'installazione.
  • /n:v - Consente di non effettuare il controllo della versione. Il programma viene installato sovrascrivendo qualsiasi versione precedente.
Per installare, ad esempio, la patch senza alcun intervento da parte dell'utente, evitando il riavvio del computer una volta terminata l'installazione, utilizzare la seguente riga di comando:
q330994 /q:a /r:n

Informazioni sui file

La versione in lingua inglese di questo aggiornamento presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in ora UTC (Coordinated Universal Time). Quando si visualizzano le informazioni sui file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.

Internet Explorer 6 SP1 (32 bit)

   Data        Ora    Versione       Dimensioni    Nome file
   ------------------------------------------------------------
   03/03/2003  04.24  6.0.2800.1123      75.776    Directdb.dll
   03/03/2003  04:41  6.0.2800.1165     592.384    Inetcomm.dll
   09/03/2003  12.42  6.0.2800.1123      47.616    Inetres.dll
   03/03/2003  09.24  6.0.2800.1123      44.032    Msident.dll
   03/03/2003  03.57  6.0.2800.1123      56.832    Msimn.exe
   11/10/2002  02.08  6.0.2800.1158   1.174.528    Msoe.dll
   03/03/2003  03.57  6.0.2800.1123     228.864    Msoeacct.dll
   03/03/2003  03.57  6.0.2800.1123   2.479.616    Msoeres.dll
   03/03/2003  03.57  6.0.2800.1123      91.136    Msoert2.dll
   03/03/2003  03.57  6.0.2800.1123      93.184    Oeimport.dll
   03/03/2003  03.57  6.0.2800.1123      55.808    Oemig50.exe
   03/03/2003  03.57  6.0.2800.1123      31.744    Oemiglib.dll
   03/03/2003  03.57  6.0.2800.1123      42.496    Wab.exe
   03/03/2003  03.57  6.0.2800.1123     462.848    Wab32.dll
   03/03/2003  03.57  6.0.2800.1123      30.208    Wabfind.dll
   03/03/2003  03.57  6.0.2800.1123      77.824    Wabimp.dll
   03/03/2003  03.57  6.0.2800.1123      27.648    Wabmig.exe

Internet Explorer 6 SP1 (64 bit)

   Data        Ora    Versione       Dimensioni    Nome file
   ------------------------------------------------------------
   05/11/2002  09.53  6.0.2800.1123     251.904    Directdb.dll
   19/02/2003  03.19  6.0.2800.1165   2.197.504    Inetcomm.dll
   05/11/2002  09.53  6.0.2800.1123      47.104    Inetres.dll
   05/11/2002  09.53  6.0.2800.1123      63.488    Msimn.exe
   19/02/2003  03.37  6.0.2800.1158   4.482.560    Msoe.dll
   05/11/2002  09.53  6.0.2800.1123     729.088    Msoeacct.dll
   05/11/2002  09.54  6.0.2800.1123   2.479.104    Msoeres.dll
   05/11/2002  09.53  6.0.2800.1123     300.032    Msoert2.dll
   05/11/2002  09.53  6.0.2800.1123     302.080    Oeimport.dll
   05/11/2002  09.54  6.0.2800.1123     142.336    Oemig50.exe
   05/11/2002  09.54  6.0.2800.1123      73.728    Oemiglib.dll
   05/11/2002  09.53  6.0.2800.1123      87.040    Wab.exe
   05/11/2002  09.53  6.0.2800.1123   1.773.568    Wab32.dll
   05/11/2002  09.53  6.0.2800.1123      38.912    Wabfind.dll
   05/11/2002  09.53  6.0.2800.1123     240.640    Wabimp.dll
   05/11/2002  09.53  6.0.2800.1123      71.680    Wabmig.exe

Internet Explorer 6

   Data        Ora    Versione       Dimensioni    Nome file
   ------------------------------------------------------------
   17/03/2003  11.44  6.0.2727.1300     594.944    Inetcomm.dll
   17/03/2003  11.44  6.0.2720.3000   1.175.040    Msoe.dll

Internet Explorer 5.5 SP2

   Data        Ora    Versione       Dimensioni    Nome file
   ------------------------------------------------------------
   30/01/2003  04.26  5.50.4925.2800    572.176    Inetcomm.dll
   15/10/2002  07.15  5.50.4922.1500  1.146.640    Msoe.dll
Nota Questa patch non contiene dipendenze tra i file.

Informazioni sulla rimozione

Per disinstallare la patch, utilizzare lo strumento Installazione applicazioni nel Pannello di controllo. Fare clic su Outlook Express Update Q330994, quindi scegliere Cambia/Rimuovi oppure Aggiungi/Rimuovi.
Torna all'inizio | Invia suggerimenti

Proprietà

Identificativo articolo: 330994 - Ultima modifica: mercoledì 2 maggio 2007 - Revisione: 4.7
Le informazioni in questo articolo si applicano a:
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0 alle seguenti piattaforme
    • Microsoft Windows 2000 Service Pack 2
    • Microsoft Windows NT 4.0 Service Pack 6a
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows Millennium Edition
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows XP Service Pack 1
Chiavi: 
kbwin2ksp4fix kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability KB330994
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio