[MS03-014] Outlook Express 用の累積的な修正プログラム (2003 年 4 月)

文書翻訳 文書翻訳
文書番号: 330994 - 対象製品
Microsoft Outlook と Microsoft Outlook Express の電子メール クライアントの相違点の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
257824 [OL2002] Outlook と Outlook Express の相違点
すべて展開する | すべて折りたたむ

目次

概要

マイクロソフトは、Microsoft Outlook Express 用の累積的な修正プログラムをリリースしました。この修正プログラムには、「サポート技術情報」 (Microsoft Knowledge Base) の以下の資料に記載されている問題に対応するための更新プログラムが含まれています。

328676 [MS02-058] Outlook Express の S/MIME 解析の未チェックのバッファによりシステムが侵害される
この資料に記載した修正プログラムは、以下のバージョンの Microsoft Outlook Express に対応しています。
  • Microsoft Windows 98 Second Edition、Microsoft Windows Millennium Edition、Microsoft Windows NT 4.0 Service Pack 6a、Microsoft Windows 2000 Service Pack 2、Microsoft Windows 2000 Service Pack 3、Microsoft Windows XP (32 ビット版のみ)、および Microsoft Windows XP Service Pack 1 (32 ビット版または 64 ビット版) 上の Internet Explorer 6.0 Service Pack 1 と共に使用されている Microsoft Outlook Express 6.0 Service Pack 1
  • Windows XP (32 ビット版のみ) 上の Internet Explorer 6.0 と共に使用されている Microsoft Outlook Express 6.0
  • Windows 98 Second Edition、Windows Millennium Edition、Windows NT 4.0 Service Pack 6a、Windows 2000 Service Pack 2、および Windows 2000 Service Pack 3 上の Internet Explorer 5.5 Service Pack 2 または Windows 2000 Service Pack 3 上の Internet Explorer 5.01 Service Pack 3 と共に使用されている Microsoft Outlook Express 5.5 Service Pack 2
この資料に記載した修正プログラムを適用することで、MHTML URL ハンドラのセキュリティ上の脆弱性を排除できます。MHTML URL ハンドラでは、テキストとして表示可能なファイルが開かれ、Microsoft Internet Explorer でページの一部として表示されます。MHTML は、MIME Encapsulation of Aggregate HTML の略です。MHTML は、電子メール メッセージ本文内の HTML コンテンツを送信するための MIME 構造を定義した、インターネット標準の 1 つです。Windows の MHTML URL ハンドラは Outlook Express に組み込まれており、このハンドラによって、ローカル コンピュータで使用できる URL の種類が 1 つ提供されます。この種類の URL (MHTML://) では、コマンド ライン、Internet Explorer、[スタート] メニューの [ファイル名を指定して実行] ダイアログ ボックスから、あるいはエクスプローラを使用して、MHTML ドキュメントが開かれます。

MHTML URL ハンドラにセキュリティ上の脆弱性が存在するため、ローカル コンピュータに保存されたテキスト ファイルを参照する URL (Uniform Resource Locator) が作成されて、そのファイルが HTML としてレンダリングされる可能性があります。テキスト ファイルにスクリプトが記述されている場合、ファイルにアクセスするとスクリプトが実行されます。ファイルがローカル コンピュータ上にあるため、ローカル コンピュータのセキュリティ ゾーンでレンダリングされます。マイ コンピュータ ゾーンでファイルが開かれる場合、その他のセキュリティ ゾーンでファイルが開かれる場合よりも、制限が少なくなります。

このような方法で攻撃者が URL を作成して、Web サイトで公開したり、電子メール メッセージを使用して送信したりするおそれがあります。Web サイトでの攻撃の場合、ユーザーが Web サイトでホストされている URL をクリックすると、ローカル コンピュータ上の既存のファイルが攻撃者に読まれたり、開かれたりする可能性があります。電子メール メッセージを使用した攻撃の場合、ユーザーがデフォルトの構成の Outlook Express 6.0 または Microsoft Outlook 2002、あるいは Outlook 電子メール セキュリティ更新プログラムを適用した Microsoft Outlook 98 または Microsoft Outlook 2000 を使用している場合は、自動的に攻撃が実行されることはなく、電子メール メッセージで送信された URL をクリックしない限り攻撃を受けることはありません。ただし、Outlook Express 6.0 または Microsoft Outlook 2002 をデフォルトの構成で使用していない、あるいは Outlook 電子メール セキュリティ更新プログラムを適用した Microsoft Outlook 98 または Microsoft Outlook 2000 を使用していない場合、ユーザーが電子メール メッセージ内の URL をクリックしなくても、自動的に攻撃が行われる可能性があります。Web サイトでの攻撃でも、電子メールを使用した攻撃でも、ユーザーの権限が制限されていれば、攻撃者のスクリプト実行も制限されます。

次の「サポート技術情報」 (Microsoft Knowledge Base) に記載されている修正プログラムを適用することで、ユーザーのコンピュータに攻撃者のファイルが読み込まれること、および実行可能ファイルにパラメータが渡されることを阻止できます。
810847 [MS03-004] Internet Explorer 用の累積的な修正プログラム (2003 年 2 月)
これによって、攻撃者はコンピュータ上に既に存在するプログラムしか起動できず (そのプログラムの場所を知っている必要があります)、実行するためのパラメータをプログラムに渡すことができなくなります。

MHTML は電子メールで HTML コンテンツの交換を行うための標準であるため、MHTML URL ハンドラ機能は Outlook Express 内部に実装されています。Internet Explorer でも MHTML コンテンツのレンダリングが可能ですが、MHTML 機能が Internet Explorer にも別途実装されているわけではありません。Internet Explorer では、Outlook Express を利用して MHTML コンテンツのレンダリングを実行します。

この修正プログラムの詳細については、以下のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS03-014.mspx

詳細

ダウンロード情報

下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
元に戻す画像を拡大する
ダウンロード
330994 パッケージ リリース日 : 2003 年 4 月 23 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

Service Pack の情報

この問題を解決するには、Microsoft Windows 2000 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
260910 最新の Windows 2000 Service Pack の入手方法

修正プログラムの情報

インストール情報

この修正プログラムをインストールするには、管理者としてログオンする必要があります。使用しているコンピュータにこの修正プログラムがインストールされているかどうかを確認するには、この資料の「ファイル情報」に記載したファイルを確認してください。

必要条件

Outlook Express 6.0 Service Pack 1

Outlook Express 6.0 Service Pack 1 の修正プログラムをインストールするには、Microsoft Windows XP Service Pack 1 (32 ビット バージョンまたは 64 ビット バージョン) を実行しているコンピュータ上で Microsoft Outlook Express 6.0 Service Pack 1 を実行している必要があります。

Outlook Express 6.0

Outlook Express 6.0 の修正プログラムをインストールするには、32 ビット バージョンの Windows XP で Outlook Express 6.0 を実行している必要があります。

Outlook Express 5.5 Service Pack 2

Microsoft Outlook Express 5.5 Service Pack 2 の修正プログラムをインストールするには、Microsoft Windows 2000 Service Pack 3 を実行しているコンピュータで、Microsoft Outlook Express 5.5 Service Pack 2 を実行している必要があります。
関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
328548 [IE] 最新の Internet Explorer 6 Service Pack を入手する方法
322389 最新の Windows XP Service Pack を入手する方法
260910 最新の Windows 2000 Service Pack の入手方法

再起動の必要性

以下の条件に該当する場合、この資料に記載した修正プログラムのインストール時に、コンピュータを再起動する必要はありません。
  • この修正プログラムをインストールする前に、Outlook Express を終了しました。
  • この修正プログラムのインストール時に、[Internet Explorer のバージョン情報] ダイアログ ボックスを開いていませんでした。

以前の修正プログラムの状態

この修正プログラムは、Outlook Express に関するマイクロソフト セキュリティ情報 MS02-058 および Outlook Express 6.0 SP1 の累積的な更新プログラムに代わるものです。

セットアップ用スイッチ

この修正プログラムの更新プログラム パッケージでは、以下のスイッチが使用できます。
  • /q : ファイルの展開を非表示モードで実行します (メッセージを一部表示しません)。
  • /q:u : ユーザー非表示モード (ユーザーに一部のダイアログ ボックスを表示します)。
  • /q:a : 管理者非表示モード (ユーザーに一切ダイアログ ボックスを表示しません)。
  • /t:path : ファイルの展開先フォルダを指定します。
  • /c : インストールを実行せずにファイルの展開のみを行います。
  • /c:path : セットアップ .inf または .exe ファイルのパスと名前を指定します。
  • /r:n : インストール完了後にコンピュータを再起動しません。
  • /r:i : 再起動が必要な場合にコンピュータを再起動します。インストールを完了するために再起動が必要な場合は、自動的に再起動します。
  • /r:a : インストール完了後にコンピュータを必ず再起動します。
  • /r:s : インストール完了後、ユーザーにメッセージを表示せずにコンピュータを再起動します。
  • /n:v : バージョン チェックを実行しません。プログラムのインストール時に以前のバージョンをすべて上書きします。
たとえば、修正プログラムのインストールの際にユーザー入力を省略し、コンピュータが強制的に再起動されないようにするには、次のコマンド ラインを使用します。
q330994 /q:a /r:n

ファイル情報

Internet Explorer 6 SP1 (32 ビット)

   日付           時刻    バージョン        サイズ      ファイル名

   ------------------------------------------------------------
   2002/10/23  16:44  6.0.2800.1123     75,776  directdb.dll    
   2003/01/30  16:18  6.0.2800.1165    592,384  inetcomm.dll    
   2002/10/23  16:53  6.0.2800.1123     47,616  inetres.dll     
   2002/10/23  16:53  6.0.2800.1123     44,032  msident.dll     
   2002/10/23  16:53  6.0.2800.1123     56,832  msimn.exe       
   2003/01/13  15:22  6.0.2800.1158  1,174,528  msoe.dll        
   2002/10/23  16:53  6.0.2800.1123    228,864  msoeacct.dll    
   2002/10/23  16:53  6.0.2800.1123  2,479,616  msoeres.dll     
   2002/10/23  16:44  6.0.2800.1123     91,136  msoert2.dll     
   2002/10/23  16:53  6.0.2800.1123     93,184  oeimport.dll    
   2002/10/23  16:53  6.0.2800.1123     55,808  oemig50.exe     
   2002/10/23  16:53  6.0.2800.1123     31,744  oemiglib.dll    
   2002/10/23  16:53  6.0.2800.1123     42,496  wab.exe         
   2002/10/23  16:53  6.0.2800.1123    462,848  wab32.dll       
   2002/10/23  16:53  6.0.2800.1123     30,208  wabfind.dll     
   2002/10/23  16:53  6.0.2800.1123     77,824  wabimp.dll      
   2002/10/23  16:44  6.0.2800.1123     27,648  wabmig.exe      

Internet Explorer 6 SP1 (64 ビット)

   日付           時刻    バージョン        サイズ      ファイル名

   ------------------------------------------------------------
   2002/11/05  09:53  6.0.2800.1123    251,904  directdb.dll    
   2003/02/19  15:19  6.0.2800.1165  2,197,504  inetcomm.dll    
   2002/11/05  12:36  6.0.2800.1123     47,104  inetres.dll     
   2002/11/05  12:37  6.0.2800.1123     63,488  msimn.exe       
   2003/02/19  15:37  6.0.2800.1158  4,482,560  msoe.dll        
   2002/11/05  12:40  6.0.2800.1123    729,088  msoeacct.dll    
   2002/11/05  12:39  6.0.2800.1123  2,479,104  msoeres.dll     
   2002/11/05  09:53  6.0.2800.1123    300,032  msoert2.dll     
   2002/11/05  12:42  6.0.2800.1123    302,080  oeimport.dll    
   2002/11/05  12:38  6.0.2800.1123    142,336  oemig50.exe     
   2002/11/05  12:35  6.0.2800.1123     73,728  oemiglib.dll    
   2002/11/05  12:43  6.0.2800.1123     87,040  wab.exe         
   2002/11/05  12:41  6.0.2800.1123  1,773,568  wab32.dll       
   2002/11/05  12:37  6.0.2800.1123     38,912  wabfind.dll     
   2002/11/05  12:42  6.0.2800.1123    240,640  wabimp.dll      
   2002/11/05  09:53  6.0.2800.1123     71,680  wabmig.exe      

Internet Explorer 6

   日付           時刻    バージョン        サイズ      ファイル名

   ------------------------------------------------------------
   2003/03/13  15:03  6.0.2727.1300    594,944  inetcomm.dll    
   2003/03/13  15:03  6.0.2720.3000  1,175,040  msoe.dll        

Internet Explorer 5.5 SP2

   日付           時刻    バージョン         サイズ      ファイル名

   ------------------------------------------------------------
   2003/01/30  16:56  5.50.4925.2800    572,176  inetcomm.dll    
   2002/10/16  09:04  5.50.4922.1500  1,146,640  msoe.dll        
: この修正プログラムには、ファイルの依存関係はありません。

アンインストール情報

この修正プログラムを削除するには、コントロール パネルの [プログラムの追加と削除] (または [アプリケーションの追加と削除]) ツールを使用します。[Outlook Express Update Q330994] をクリックして、[変更と削除] (または [追加と削除]) をクリックします。

プロパティ

文書番号: 330994 - 最終更新日: 2007年5月2日 - リビジョン: 4.7
この資料は以下の製品について記述したものです。
  • Microsoft Outlook Express 6.0?を以下の環境でお使いの場合
    • Microsoft Windows XP Embedded
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 2000 Service Pack 2
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows NT 4.0 Service Pack 6a
    • Microsoft Windows XP Professional
    • Microsoft Windows Millennium Edition
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
キーワード:?
kbwin2ksp4fix kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability KB330994
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com