MS03-014: Abril de 2003, Patch cumulativo para o Outlook Express

Artigo: 330994 - Ver produtos para os quais este artigo se aplica.
Para obter informações sobre as diferenças entre os clientes de correio electrónico Microsoft Outlook e Microsoft Outlook Express, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
257824
(http://support.microsoft.com/kb/257824/PT/ )
Diferenças entre o Outlook e o Outlook Express


Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).
Expandir tudo | Reduzir tudo

Nesta página

Sumário

A Microsoft publicou um patch cumulativo para o Microsoft Outlook Express. Este patch cumulativo inclui actualizações para os problemas descritos no seguinte artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

328676
(http://support.microsoft.com/kb/328676/ )
MS02-058: OLEXP: An unchecked buffer in Outlook Express S/MIME parsing may permit system compromise
O patch descrito neste artigo aplica-se às seguintes versões do Microsoft Outlook Express:
  • Microsoft Outlook Express 6.0 Service Pack 1, quando utilizado com o Internet Explorer 6.0 Service Pack 1 no Microsoft Windows 98 Segunda Edição, Microsoft Windows Millennium Edition, Microsoft Windows NT 4.0 Service Pack 6a, Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, Microsoft Windows XP (apenas versões de 32 bits) e Microsoft Windows XP Service Pack 1 (versões de 32 bits ou 64 bits).
  • Microsoft Outlook Express 6.0, quando utilizado com o Internet Explorer 6.0 no sistema operativo Windows XP (apenas versões de 32 bits).
  • Microsoft Outlook Express 5.5 Service Pack 2, quando utilizado com o Internet Explorer 5.5 Service Pack 2 no Windows 98 Segunda Edição, Windows Millennium Edition, Windows NT 4.0 Service Pack 6a, Windows 2000 Service Pack 2 e Windows 2000 Service Pack 3 ou Internet Explorer 5.01 Service Pack 3 no Windows 2000 Service Pack 3.
O patch descrito neste artigo ajuda a proteger contra uma vulnerabilidade existente no processador de URLs do tipo MHTML (MHTML URL Handler) em que este permite que qualquer ficheiro que possa ser apresentado como texto seja aberto e apresentado como parte de uma página no Microsoft Internet Explorer. MHTML significa MIME Encapsulation of Aggregate HTML. MHTML é uma norma da Internet que define a estrutura MIME utilizada para enviar conteúdo HTML em corpos de mensagens de correio electrónico. No Windows, o MHTML URL Handler é um componente do Outlook Express e fornece um tipo de URL que pode ser utilizado no computador local. Este tipo de URL (MHTML://) permite abrir documentos MHTML a partir de uma linha de comandos, do Internet Explorer, da caixa de diálogo Executar (Run) no menu Iniciar (Start) ou utilizando o Explorador do Windows (Windows Explorer).

Esta vulnerabilidade no MHTML URL Handler torna possível a criação de um URL (Uniform Resource Locator) que faça referência a um ficheiro de texto armazenado no computador local para apresentar esse ficheiro como HTML. Se o ficheiro de texto contiver um script, este será executado quando o ficheiro for acedido. Uma vez que o ficheiro reside no computador local, será apresentado na zona de segurança do computador local. Os ficheiros que são abertos nesta zona estão sujeitos a menos restrições do que os ficheiros que são abertos noutras zonas de segurança.

Este método permite a um atacante tentar criar um URL e hospedá-lo num Web site ou enviá-lo numa mensagem de correio electrónico. Num cenário baseado na Web, no qual um utilizador clica num URL hospedado num Web site, um atacante pode conseguir ler ou abrir ficheiros existentes no computador local. Não é possível desencadear automaticamente um ataque com base numa mensagem de correio electrónico se o utilizador utilizar o Outlook Express 6.0 ou o Microsoft Outlook 2002 na configuração predefinida, ou o Microsoft Outlook 98 ou o Microsoft Outlook 2000 com a actualização de segurança de correio electrónico do Outlook; o utilizador teria de clicar no URL recebido na mensagem de correio electrónico. No entanto, se a situação não for uma das descritas, o atacante poderá accionar um ataque automaticamente sem ser necessário que o utilizador clique no URL contido na mensagem de correio electrónico. Em ambos os cenários, as limitações dos privilégios do utilizador também restringem as capacidades do script do atacante.

A aplicação do patch descrito no seguinte artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) ajuda a bloquear a capacidade de um atacante carregar um ficheiro num computador do utilizador e a impedir a passagem de parâmetros para um ficheiro executável.
810847
(http://support.microsoft.com/kb/810847/PT/ )
MS03-004: Fevereiro de 2003, Patch cumulativo para o Internet Explorer
Isto significa que, após a aplicação deste patch, um atacante apenas poderá iniciar um programa existente no computador (se tiver conhecimento da localização do programa) e não conseguirá passar parâmetros para o programa, para a respectiva execução.

O MHTML é uma norma para troca de conteúdo HTML em correio electrónico e, consequentemente, a função MHTML URL Handler foi implementada no Outlook Express. O Internet Explorer também pode apresentar conteúdo MHTML. No entanto, a função MHTML não foi implementada separadamente no Internet Explorer; este utiliza o Outlook Express para apresentar conteúdo MHTML.

Para obter mais informações sobre este patch, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS03-014.mspx
(http://www.microsoft.com/technet/security/bulletin/MS03-014.mspx)
Voltar ao topo | Submeter comentários

Mais Informação

Informações de transferência

O seguinte ficheiro está disponível para transferência a partir do centro de transferências da Microsoft:
Reduzir esta imagemExpandir esta imagem
Transferir
Transferir o pacote 330994 agora.
(http://www.microsoft.com/windows/ie/downloads/critical/330994/default.asp)
Data de edição: 23 de Abril de 2003

Para obter mais informações sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
119591
(http://support.microsoft.com/kb/119591/ )
Como obter ficheiros de suporte da Microsoft a partir de serviços online
A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual, disponível na data de publicação do ficheiro. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.

Informações sobre Service Packs

Para resolver este problema, obtenha o Service Pack mais recente do Microsoft Windows 2000. Para obter mais informações, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
260910
(http://support.microsoft.com/kb/260910/ )
Como obter o Service Pack mais recente do Windows 2000

Informações sobre a correcção

Informações de instalação

Tem de ter sessão iniciada como administrador para instalar este patch. Para verificar se o patch está instalado no computador, verifique os ficheiros indicados na secção "Informações sobre os ficheiros" deste artigo.

Pré-requisitos

Outlook Express 6.0 Service Pack 1

Para instalar a versão deste patch relativa ao Outlook Express 6.0 Service Pack 1, tem de ter o Microsoft Outlook Express 6.0 Service Pack 1 em execução num computador com o Microsoft Windows XP Service Pack 1 (versões de 32 ou 64 bits).

Outlook Express 6.0

Para instalar a versão deste patch relativa ao Outlook Express 6.0, tem de ter o Outlook Express 6.0 em execução numa versão de 32 bits do Windows XP.

Outlook Express 5.5 Service Pack 2

Para instalar a versão deste patch relativa ao Microsoft Outlook Express 5.5 Service Pack 2, tem de ter o Microsoft Outlook Express 5.5 Service Pack 2 em execução num computador com o Microsoft Windows 2000 Service Pack 3.
Para obter mais informações, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
328548
(http://support.microsoft.com/kb/328548/ )
Como obter o Service Pack mais recente para o Internet Explorer 6
322389
(http://support.microsoft.com/kb/322389/ )
Como obter o Service Pack mais recente do Windows XP
260910
(http://support.microsoft.com/kb/260910/ )
Como obter o Service Pack mais recente do Windows 2000

Necessidade de reinício

Ao instalar os patches descritos neste artigo, não será necessário reiniciar o computador quando se verificarem as seguintes condições:
  • O utilizador encerra o Outlook Express antes de instalar o patch.
  • A caixa de diálogo Acerca do Internet Explorer não está aberta quando instala o patch.

Ponto da situação relativamente a actualizações anteriores

Este patch substitui o boletim de segurança MS02-058 da Microsoft para o Outlook Express e a actualização cumulativa para o Outlook Express 6.0 SP1.

Parâmetros de configuração

Os pacotes de actualização para este patch suportam os seguintes parâmetros:
  • /q - especifica o modo silencioso (ou seja, suprime mensagens) quando os ficheiros são extraídos.
  • /q:u - especifica o modo silencioso de utilizador, que apresenta algumas caixas de diálogo ao utilizador.
  • /q:a - especifica o modo silencioso de administrador, que não apresenta quaisquer caixas de diálogo.
  • /t: caminho - especifica a pasta de destino para a extracção dos ficheiros.
  • /c - extrai os ficheiros sem os instalar.
  • /c: caminho - especifica o caminho e nome do ficheiro de configuração .inf ou .exe.
  • /r:n - nunca reinicia o computador após uma instalação.
  • /r:i - reinicia o computador se tal for necessário. Inicia automaticamente o computador se o reinício for necessário para concluir a instalação.
  • /r:a - reinicia sempre o computador após uma instalação.
  • /r:s - reinicia o computador após uma instalação, sem solicitar confirmação ao utilizador.
  • /n:v - não verifica a versão. Instala o programa sobre qualquer versão anterior.
Por exemplo, utilize a seguinte linha de comandos para instalar o patch sem intervenção do utilizador e sem forçar o reinício do computador:
q330994 /q:a /r:n

Informações sobre os ficheiros

A versão inglesa desta actualização tem os atributos de ficheiro listados na tabela que se segue (ou atributos de ficheiro posteriores). As datas e horas destes ficheiros são indicadas no formato de hora universal coordenada (UTC, Coordinated Universal Time). Ao visualizar as informações do ficheiro, estas são convertidas para a hora local. Para determinar a diferença entre a UTC e a hora local, utilize o separador Fuso horário (Time Zone) da ferramenta Data e hora (Date and Time) no Painel de controlo (Control Panel).

Internet Explorer 6 SP1 (32 bits)

   Data         Hora   Versão           Tamanho   Nome do ficheiro
   ---------------------------------------------------------------
   03-Mar-2003  04:24  6.0.2800.1123    75,776    Directdb.dll
   03-Mar-2003  04:41  6.0.2800.1165   592,384    Inetcomm.dll
   09-Mar-2003  12:42  6.0.2800.1123    47,616    Inetres.dll
   03-Mar-2003  09:24  6.0.2800.1123    44,032    Msident.dll
   03-Mar-2003  03:57  6.0.2800.1123    56,832    Msimn.exe
   11-Oct-2002  02:08  6.0.2800.1158 1,174,528    Msoe.dll
   03-Mar-2003  03:57  6.0.2800.1123   228,864    Msoeacct.dll
   03-Mar-2003  03:57  6.0.2800.1123 2,479,616    Msoeres.dll
   03-Mar-2003  03:57  6.0.2800.1123    91,136    Msoert2.dll
   03-Mar-2003  03:57  6.0.2800.1123    93,184    Oeimport.dll
   03-Mar-2003  03:57  6.0.2800.1123    55,808    Oemig50.exe
   03-Mar-2003  03:57  6.0.2800.1123    31,744    Oemiglib.dll
   03-Mar-2003  03:57  6.0.2800.1123    42,496    Wab.exe
   03-Mar-2003  03:57  6.0.2800.1123   462,848    Wab32.dll
   03-Mar-2003  03:57  6.0.2800.1123    30,208    Wabfind.dll
   03-Mar-2003  03:57  6.0.2800.1123    77,824    Wabimp.dll
   03-Mar-2003  03:57  6.0.2800.1123    27,648    Wabmig.exe

Internet Explorer 6 SP1 (64 bits)

   Data         Hora   Versão          Tamanho     Nome do ficheiro
   --------------------------------------------------------------
   05-Nov-2002	09:53  6.0.2800.1123    251,904   Directdb.dll
   19-Feb-2003  03:19  6.0.2800.1165  2,197,504   Inetcomm.dll
   05-Nov-2002	09:53  6.0.2800.1123     47,104   Inetres.dll
   05-Nov-2002	09:53  6.0.2800.1123     63,488   Msimn.exe
   19-Feb-2003  03:37  6.0.2800.1158  4,482,560   Msoe.dll
   05-Nov-2002	09:53  6.0.2800.1123    729,088   Msoeacct.dll
   05-Nov-2002	09:54  6.0.2800.1123  2,479,104   Msoeres.dll
   05-Nov-2002	09:53  6.0.2800.1123    300,032   Msoert2.dll
   05-Nov-2002	09:53  6.0.2800.1123    302,080   Oeimport.dll
   05-Nov-2002	09:54  6.0.2800.1123    142,336   Oemig50.exe
   05-Nov-2002	09:54  6.0.2800.1123     73,728   Oemiglib.dll
   05-Nov-2002	09:53  6.0.2800.1123     87,040   Wab.exe
   05-Nov-2002	09:53  6.0.2800.1123  1,773,568   Wab32.dll
   05-Nov-2002	09:53  6.0.2800.1123     38,912   Wabfind.dll
   05-Nov-2002	09:53  6.0.2800.1123    240,640   Wabimp.dll
   05-Nov-2002	09:53  6.0.2800.1123     71,680   Wabmig.exe

Internet Explorer 6

   Data         Hora   Versão         Tamanho     Nome do ficheiro
   --------------------------------------------------------------
   17-Mar-2003  11:44  6.0.2727.1300    594,944   Inetcomm.dll
   17-Mar-2003  11:44  6.0.2720.3000  1,175,040   Msoe.dll

Internet Explorer 5.5 SP2

   Data         Hora   Versão         Tamanho     Nome do ficheiro
   --------------------------------------------------------------
   30-Jan-2003  04:26  5.50.4925.2800   572,176   Inetcomm.dll
   15-Oct-2002  07:15  5.50.4922.1500 1,146,640   Msoe.dll
Nota: este patch não contém dependências de ficheiros.

Informações de remoção

Para remover este patch, utilize a ferramenta Adicionar ou remover programas (Add or Remove Programs) do Painel de controlo (Control Panel). Clique em Outlook Express Update Q330994 e clique em Alterar/remover (Change/Remove) [ou Adicionar/remover (Add/Remove)].
Voltar ao topo | Submeter comentários

Propriedades

Artigo: 330994 - Última revisão: sexta-feira, 27 de Abril de 2007 - Revisão: 4.7
A informação contida neste artigo aplica-se a:
  • Microsoft Outlook Express 6.0 nas seguintes plataformas
    • Microsoft Windows XP Embedded
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 2000 Service Pack 2
    • Microsoft Windows 98 Segunda Edição
    • Microsoft Windows NT 4.0 Service Pack 6a
    • Microsoft Windows XP Professional Edition
    • Microsoft Windows Millennium Edition
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
Palavras-chave: 
kbwin2ksp4fix kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability KB330994
Voltar ao topo | Submeter comentários

Submeter comentários

 
Voltar ao topoVoltar ao topo