MS03-014: Апрель 2003, накопительное обновление для Microsoft Outlook Express

Переводы статьи Переводы статьи
Код статьи: 330994 - Vizualiza?i produsele pentru care se aplic? acest articol.
Сведения о различиях между почтовыми клиентами Microsoft Outlook и Microsoft Outlook Express см. в следующей статье базы знаний Майкрософт:
257824 Различия между приложениями Microsoft Outlook и Microsoft Outlook Express
Развернуть все | Свернуть все

В этой статье

Аннотация

Корпорация Microsoft выпустила накопительное обновление для Microsoft Outlook Express. Это накопительное обновление предназначено для решения проблем, описанных в следующей статье базы знаний Майкрософт:

328676 MS02-058: OLEXP: Переполнение буфера при обработке S/MIME в Outlook Express может привести к нарушению защиты системы
Описанное в данной статье исправление применимо к следующим версиям Microsoft Outlook Express:
  • Microsoft Outlook Express 6.0 с пакетом обновления 1 (SP1) при использовании совместно с Internet Explorer 6.0 с пакетом обновления 1 (SP1) на платформах Microsoft Windows 98 второго издания, Microsoft Windows Millennium Edition, Microsoft Windows NT 4.0 с пакетом обновления 6а (SP6а), Microsoft Windows 2000 с пакетом обновления 2 (SP2), Microsoft Windows 2000 с пакетом обновления 3 (SP3), Microsoft Windows XP (только 32-разрядные версии) и Microsoft Windows XP с пакетом обновления 1 (SP1) (32-разрядные и 64-разрядные версии).
  • Microsoft Outlook Express 6.0 при использовании совместно с Internet Explorer 6.0 на платформе Windows XP (только 32-разрядные версии)
  • Microsoft Outlook Express 5.5 с пакетом обновления 2 (SP2) при использовании совместно с Internet Explorer 5.5 с пакетом обновления 2 (SP2) на платформах Windows 98 второго издания, Windows Millennium Edition, Windows NT 4.0 с пакетом обновления 6а (SP6а), Windows 2000 с пакетом обновления 2 (SP2) и Windows 2000 с пакетом обновления 3 (SP3) или с Internet Explorer 5.01 с пакетом обновления 3 (SP3) на платформе Windows 2000 с пакетом обновления 3 (SP3).
Описанное в данной статье исправление предназначено для защиты от уязвимости, присутствующей в обработчике URL-адресов MHTML, которая позволяет открывать и обрабатывать как часть страницы в обозревателе Microsoft Internet Explorer любой файл, если его можно интерпретировать как текст. MHTML — это аббревиатура выражения MIME Encapsulation of Aggregate HTML (MIME-инкапсуляция агрегированных HTML-документов). MHTML — это стандарт Интернета, который определяет структуру MIME, используемую для отправки содержимого HTML в теле электронного письма. Обработчик URL-адресов MHTML в Windows является частью Outlook Express и предназначен для определения типа URL-адресов, который можно использовать на локальном компьютере. Данный тип URL-адресов (MHTML://) позволяет открывать документы MHTML из командной строки, из обозревателя Internet Explorer, из диалогового окна Выполнить меню Пуск, а также с помощью Проводника.

Описываемая в этой статье уязвимость в обработчике URL-адресов MHTML позволяет создать адрес URL, указывающий на текстовый файл, расположенный на локальном компьютере, и обработать этот файл как HTML. Если текстовый файл содержит сценарий, то при обращении к файлу этот сценарий будет выполнен. Поскольку файл располагается на локальном компьютере, его обработка будет проходить в зоне безопасности, соответствующей локальному компьютеру. К файлам, открываемым в данной зоне безопасности, применяются менее строгие ограничения, чем к файлам, открываемым в других зонах безопасности.

Используя данный метод, злоумышленник может попытаться создать URL-адрес и поместить его на веб-узел или прислать по электронной почте. В первом случае, если пользователь щелкает ссылку, размещенную на веб-узле, злоумышленник может читать или открывать файлы, которые уже имеются на локальном компьютере. В случае атаки через электронную почту, если пользователь использует Outlook Express 6.0 или Microsoft Outlook 2002 в их стандартной конфигурации или Microsoft Outlook 98 и Microsoft Outlook 2000 с установленным обновлением безопасности Outlook, атака не произойдет, пока пользователь не щелкнет ссылку, присланную в сообщении. Если же пользователь не использует Outlook Express 6.0 или Outlook 2002 в их стандартной конфигурации, либо Outlook 98 и 2000 с установленным обновлением безопасности Outlook, то злоумышленник может организовать автоматический запуск атаки, которая произойдет без нажатия пользователем ссылки в письме. В обоих случаях любые ограничения прав пользователей ограничат возможности сценария злоумышленника.

После установки исправления, описанного в следующей статье базы знаний Майкрософт, злоумышленник не сможет загрузить файл на компьютер пользователя и передать необходимые параметры исполняемому файлу.
810847 MS03-004: Февраль 2003, Накопительное обновление для Internet Explorer
Это означает, что злоумышленник сможет запустить только программы, уже имеющиеся на компьютере (если злоумышленник осведомлен об их расположении), и не сможет передать параметры запуска для их исполнения.

MHTML — это стандарт для обмена электронными письмами, содержащими код HTML, и поэтому в состав Outlook Express включен обработчик URL-адресов MHTML. Internet Explorer также может интерпретировать содержимое MHTML. Однако функции обработки содержимого MHTML не были включены в Internet Explorer отдельно — для этого используется Outlook Express.

Дополнительные сведения об этом обновлении см. на веб-узле Майкрософт по следующему адресу:
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-014.mspx
(данная ссылка может указывать на содержимое полностью или частично на английском языке).

Дополнительная информация

Сведения о загрузке

Следующий файл можно загрузить в Центре загрузки Microsoft:
Свернуть это изображениеРазвернуть это изображение
Загрузка
Загрузить пакет 330994. Дата выпуска: 23 апреля 2003 г.

Дополнительные сведения о загрузке файлов с узла технической поддержки корпорации Майкрософт см. в следующей статье базы знаний Майкрософт:
119591 Как загрузить файлы поддержки Microsoft из Интернета
Этот файл проверен корпорацией Майкрософт на вирусы. Корпорация Майкрософт использовала последнее на момент публикации файла программное обеспечение для обнаружения вирусов. Файл хранится на защищенных серверах, которые предотвращают его несанкционированное изменение.

Сведения о пакете обновления

Чтобы решить эту проблему, установите последний пакет обновления для Windows 2000. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
260910 Как получить последний пакет обновления для Windows 2000

Сведения об исправлении

Сведения об установке

Для установки этого обновления войдите в систему с правами администратора. Чтобы проверить, установлено ли данное обновление на компьютере, убедитесь в наличии файлов, перечисленных в разделе "Сведения о файлах" этой статьи.

Необходимые условия

Outlook Express 6.0 с пакетом обновления 1 (SP1)

Чтобы установить версию данного обновления для Outlook Express 6.0 с пакетом обновления 1 (SP1), на компьютере с операционной системой Microsoft Windows XP с пакетом обновления 1 (SP1) (32- или 64-разрядная версия) должен использоваться клиент Microsoft Outlook Express 6.0 с пакетом обновления 1 (SP1).

Outlook Express 6.0

Чтобы установить версию данного обновления для Outlook Express 6.0, на компьютере с операционной системой Windows XP (32-разрядная версия) должен использоваться клиент Outlook Express 6.0.

Outlook Express 5.5 с пакетом обновления 2 (SP2)

Чтобы установить версию данного обновления для Outlook Express 5.5 с пакетом обновления 2 (SP2), на компьютере с операционной системой Microsoft Windows 2000 с пакетом обновления 3 (SP3) должен быть установлен Microsoft Outlook Express 5.5 с пакетом обновления 2 (SP2).
Дополнительные сведения см. в следующих статьях базы знаний Майкрософт:
328548 Как получить последний пакет обновления для Internet Explorer 6
322389 Как получить последний пакет обновления для Windows XP
260910 Как получить последний пакет обновления для Windows 2000

Требования к перезагрузке

После установки описанного в данной статье обновления перезагружать компьютер не требуется в следующих ситуациях:
  • Приложение Outlook Express было закрыто до установки обновления.
  • Диалоговое окно О программе Internet Explorer не было открыто во время установки обновления.

Состояние предыдущих обновлений

Данное обновление заменяет собой обновление для Outlook Express, описанное в бюллетене Microsoft по безопасности MS02-058, и накопительное обновление для Outlook Express 6.0 с пакетом обновления 1 (SP1).

Параметры установки

Программа установки данного обновления поддерживает следующие параметры командной строки:
  • /q — Скрытый режим извлечения файлов (без вывода сообщений для пользователя).
  • /q:u — Скрытый режим (появляются только некоторые сообщения для пользователя).
  • /q:а — Административный скрытый режим (пользователь не видит никаких диалоговых окон).
  • /t: путь — Папка, в которую будут извлечены файлы.
  • /c — Извлечение файлов без установки.
  • /c: путь — Путь к установочному файлу INF или EXE и его имя.
  • /r:n — Никогда не перезапускать компьютер после установки.
  • /r:i — Перезапускать, если требуется. Эта команда автоматически перезапускает компьютер, если перезапуск требуется для завершения установки.
  • /r:a — Всегда перезапускать компьютер после установки.
  • /r:s — Перезапускать компьютер после установки, не спрашивая пользователя.
  • /n:v — Не проверять версии файлов. Программа устанавливается поверх предыдущей версии.
Например, для установки обновления без вмешательства пользователя и перезагрузки компьютера необходимо выполнить следующую команду:
q330994 /q:a /r:n

Сведения о файлах

Английская версия этого обновления имеет атрибуты файлов, приведенные в следующей таблице, или более поздние. Дата и время для файлов указаны в формате UTC (Coordinated Universal Time). При просмотре сведений о файле эти значения преобразуются в местное время. Чтобы выяснить разницу между временем UTC и местным временем, откройте вкладку Часовой пояс элемента "Дата и время" панели управления.

Internet Explorer 6 с пакетом обновления 1 (SP1) (32-разрядная версия)

   Дата         Время   Версия          Размер    Имя файла
   --------------------------------------------------------------
   03.03.2003  04:24  6.0.2800.1123    75 776    Directdb.dll
   03.03.2003  04:41  6.0.2800.1165   592 384    Inetcomm.dll
   09.03.2003  12:42  6.0.2800.1123    47 616    Inetres.dll
   03.03.2003  09:24  6.0.2800.1123    44 032    Msident.dll
   03.03.2003  03:57  6.0.2800.1123    56 832    Msimn.exe
   11.10.2002  02:08  6.0.2800.1158 1 174 528    Msoe.dll
   03.03.2003  03:57  6.0.2800.1123   228 864    Msoeacct.dll
   03.03.2003  03:57  6.0.2800.1123 2 479 616    Msoeres.dll
   03.03.2003  03:57  6.0.2800.1123    91 136    Msoert2.dll
   03.03.2003  03:57  6.0.2800.1123    93 184    Oeimport.dll
   03.03.2003  03:57  6.0.2800.1123    55 808    Oemig50.exe
   03.03.2003  03:57  6.0.2800.1123    31 744    Oemiglib.dll
   03.03.2003  03:57  6.0.2800.1123    42 496    Wab.exe
   03.03.2003  03:57  6.0.2800.1123   462 848    Wab32.dll
   03.03.2003  03:57  6.0.2800.1123    30 208    Wabfind.dll
   03.03.2003  03:57  6.0.2800.1123    77 824    Wabimp.dll
   03.03.2003  03:57  6.0.2800.1123    27 648    Wabmig.exe

Internet Explorer 6 с пакетом обновления 1 (SP1) (64-разрядная версия)

   Дата         Время   Версия          Размер    Имя файла
   --------------------------------------------------------------
   05.11.2002	 09:53  6.0.2800.1123    251 904   Directdb.dll
   19.02.2003   03:19  6.0.2800.1165  2 197 504   Inetcomm.dll
   05.11.2002	 09:53  6.0.2800.1123     47 104   Inetres.dll
   05.11.2002	 09:53  6.0.2800.1123     63 488   Msimn.exe
   19.02.2003   03:37  6.0.2800.1158  4 482 560   Msoe.dll
   05.11.2002	 09:53  6.0.2800.1123    729 088   Msoeacct.dll
   05.11.2002	 09:54  6.0.2800.1123  2 479 104   Msoeres.dll
   05.11.2002	 09:53  6.0.2800.1123    300 032   Msoert2.dll
   05.11.2002	 09:53  6.0.2800.1123    302 080   Oeimport.dll
   05.11.2002	 09:54  6.0.2800.1123    142 336   Oemig50.exe
   05.11.2002	 09:54  6.0.2800.1123     73 728   Oemiglib.dll
   05.11.2002	 09:53  6.0.2800.1123     87 040   Wab.exe
   05.11.2002	 09:53  6.0.2800.1123  1 773 568   Wab32.dll
   05.11.2002	 09:53  6.0.2800.1123     38 912   Wabfind.dll
   05.11.2002	 09:53  6.0.2800.1123    240 640   Wabimp.dll
   05.11.2002	 09:53  6.0.2800.1123     71 680   Wabmig.exe

Internet Explorer 6

   Дата         Время   Версия          Размер    Имя файла
   --------------------------------------------------------------
   17.03.2003  11:44  6.0.2727.1300    594 944   Inetcomm.dll
   17.03.2003  11:44  6.0.2720.3000  1 175 040   Msoe.dll

Internet Explorer 5.5 с пакетом обновления 2 (SP2)

   Дата         Время   Версия          Размер    Имя файла
   --------------------------------------------------------------
   30.01.2003  04:26  5.50.4925.2800   572 176   Inetcomm.dll
   15.10.2002  07:15  5.50.4922.1500 1 146 640   Msoe.dll
Примечание. Данное обновление не содержит зависимостей файлов.

Сведения об удалении

Чтобы удалить данное обновление, воспользуйтесь элементом панели управления "Установка и удаление программ". Выберите пункт Outlook Express Update Q330994 и нажмите кнопку Изменить/Удалить (или Добавить/Удалить).

Свойства

Код статьи: 330994 - Последний отзыв: 21 февраля 2007 г. - Revision: 4.5
Информация в данной статье относится к следующим продуктам.
  • Microsoft Outlook Express 6.0 на следующих платформах
    • Microsoft Windows XP Embedded
    • операционная система Microsoft Windows Millennium Edition
    • Microsoft Windows 2000 Service Pack 2
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows NT 4.0 Service Pack 6a
    • Microsoft Windows XP Professional
    • операционная система Microsoft Windows Millennium Edition
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
Ключевые слова: 
kbwin2ksp4fix kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability KB330994

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com