MS03-014:2003 年 4 月,Outlook Express 的持續發佈修補程式

文章翻譯 文章翻譯
文章編號: 330994 - 檢視此文章適用的產品。
如需有關 Microsoft Outlook 和 Microsoft Outlook Express 電子郵件用戶端之間差異的資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
257824 OL2000:Outlook 與 Outlook Express 的差異
全部展開 | 全部摺疊

在此頁中

結論

Microsoft 已經發行 Microsoft Outlook Express 的累積修補程式。此累積修補程式包含可解決下列「Microsoft 知識庫」文件中所述問題的更新:

328676 MS02-058: OLEXP: An Unchecked Buffer in Outlook Express S/MIME Parsing May Permit System Compromise
本文所述的修補程式適用於下列 Microsoft Outlook Express 版本:
  • Microsoft Outlook Express 6.0 Service Pack 1,其搭配 Microsoft Windows 98 Second Edition、Microsoft Windows Millennium Edition、Microsoft Windows NT 4.0 Service Pack 6a、Microsoft Windows 2000 Service Pack 2、Microsoft Windows 2000 Service Pack 3、Microsoft Windows XP (僅限 32 位元版本) 和 Microsoft Windows XP Service Pack 1 (32 位元或 64 位元版本) 上的 Internet Explorer 6.0 Service Pack 1 一起使用。
  • Microsoft Outlook Express 6.0,其搭配 Windows XP (僅限 32 位元版本) 作業系統上的 Internet Explorer 6.0 一起使用。
  • Microsoft Outlook Express 5.5 Service Pack 2,其搭配 Windows 98 Second Edition、Windows Millennium Edition、Windows NT 4.0 Service Pack 6a、Windows 2000 Service Pack 2 和 Windows 2000 Service Pack 3 上的 Internet Explorer 5.5 Service Pack 2 一起使用,或搭配 Windows 2000 Service Pack 3 上的 Internet Explorer 5.01 Service Pack 3 一起使用。
本文所述的修補程式可以協助防範 MHTML URL Handler 中的弱點,MHTML URL Handler 可以將任何能以文字呈現的檔案在 Microsoft Internet Explorer 中開啟或呈現為頁面的一部分。MHTML 是指「集合 HTML 的 MIME 封裝」。MHTML 是定義電子郵件本文中用來傳送 HTML 內容之 MIME 結構的網際網路標準。Windows 中的 MHTML URL Handler 是 Outlook Express 的一部分,提供可在本機電腦上使用的 URL 類型。這個 URL 類型 (MHTML://) 允許 MHTML 文件可以透過命令列、Internet Explorer、[開始] 功能表上的 [執行] 對話方塊或 Windows 檔案總管加以開啟。

由於 MHTML URL Handler 存在這個弱點的緣故,可能會建構一個參照本機電腦所儲存之文字檔案的統一資源定位器 (URL),並使該檔案以 HTML 的形式呈現。如果文字檔案包含指令碼,那麼在存取檔案時,該指令碼可能會執行。因為檔案位於本機電腦中,所以它可能是在本機電腦安全區域內呈現出來。在本機電腦區域中開啟的檔案所受到的限制,會比在其他安全性區域中開啟的檔案來得少。

攻擊者可能會透過這個方法,嘗試建構一個 URL,然後將 URL 裝載在網站上或者使用電子郵件將 URL 傳送出去。在以網路為主的案例中,使用者按下裝載在網站上的 URL 之後,攻擊者就可以讀取或開啟本機電腦中已存在的檔案。在以電子郵件為主的攻擊中,如果使用者使用 Outlook Express 6.0 或 Microsoft Outlook 2002 並套用預設設定,或者使用具有 Outlook 電子郵件安全性更新的 Microsoft Outlook 98 或 Microsoft Outlook 2000,則攻擊不會自動引發,而是必須由使用者按一下電子郵件中的 URL 才會引發。然而,如果使用者不是使用 Outlook Express 6.0 或 Outlook 2002 並套用預設設定,或者使用具有 Outlook 電子郵件安全性更新的 Outlook 98 或 Outlook 2000,攻擊者可以使攻擊自動觸發,而不需使用者按一下電子郵件中的 URL。在以網路為主及以電子郵件為主的兩個案例中,在使用者的權限上套用任何限制都能對攻擊者的指令碼效力有所限制。

套用下列「Microsoft 知識庫」文件所述的修補程式,有助於阻擋攻擊者將檔案載入使用者的電腦,並且防止將參數傳遞至可執行檔。
810847 MS03-004:2003 年 2 月,為 Internet Explorer 所發行的累積補充程式
這表示攻擊者只能啟動電腦上已經存在的程式 (如果攻擊者知道程式所在位置的話),而無法將參數傳遞至程式,使程式執行。

MHTML 是用於在電子郵件中交換 HTML 內容的標準,因此,MHTML URL Handler 功能已經實作在 Outlook Express 中。Internet Explorer 也可以呈現 MHTML 內容。不過,MHTML 功能尚未個別實作在 Internet Explorer 中,所以 Internet Explorer 會使用 Outlook Express 來呈現 MHTML 內容。

如需有關這個修補程式的詳細資訊,請造訪下列 Microsoft 網站:
http://www.microsoft.com/taiwan/security/bulletins/MS03-014.asp

其他相關資訊

下載資訊

您可以從「Microsoft 下載中心」下載下列檔案:
摺疊此圖像展開此圖像
下載
立即下載 330994 套件。 發行日期:2003 年 4 月 23 日

如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
119591 如何從線上服務取得 Microsoft 支援檔案
Microsoft 已對這個檔案做過病毒掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。

Service Pack 資訊

如果要解決這個問題,請取得 Microsoft Windows 2000 的最新版 Service Pack。如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
260910 如何取得最新版的 Windows 2000 Service Pack

Hotfix 資訊

安裝資訊

您必須以系統管理員的身分登入才能安裝這個修補程式。如果要檢查您電腦上是否已安裝此修補程式,請查看本文<檔案資訊>一節中的檔案。

先決條件

Outlook Express 6.0 Service Pack 1

如果要安裝這個修補程式的 Outlook Express 6.0 Service Pack 1 版本,您必須在執行 Microsoft Windows XP Service Pack 1 (32 位元或 64 位元版本) 的電腦上執行 Microsoft Outlook Express 6.0 Service Pack 1。

Outlook Express 6.0

如果要安裝這個修補程式的 Outlook Express 6.0 版本,您必須在 32 位元版本的 Windows XP 上執行 Outlook Express 6.0。

Outlook Express 5.5 Service Pack 2

如果要安裝這個修補程式的 Microsoft Outlook Express 5.5 Service Pack 2 版本,您必須在執行 Microsoft Windows 2000 Service Pack 3 的電腦上執行 Microsoft Outlook Express 5.5 Service Pack 2。
如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
328548 如何取得最新的 Internet Explorer 6 Service Pack
322389 如何取得最新版 Windows XP Service Pack
260910 如何取得最新版的 Windows 2000 Service Pack

重新啟動需求

安裝本文所述的修補程式時,如果下列情況成立,就不需要重新啟動電腦:
  • 您先關閉 Outlook Express 再安裝修補程式。
  • 安裝修補程式時,[關於 Internet Explorer] 對話方塊未開啟。

先前更新狀態

這個修補程式會取代適用於 Outlook Express 的 Microsoft 資訊安全佈告欄 MS02-058,以及 Outlook Express 6.0 SP1 的累積更新。

安裝參數

這個修補程式的更新套件支援下列參數:
  • /q - 指定在解壓縮檔案時採用安靜模式 (換句話說,就是隱藏提示訊息)。
  • /q:u - 指定使用者安靜模式,使用者會看到一些對話方塊。
  • /q:a - 指定系統管理員安靜模式,使用者不會看到任何對話方塊。
  • /t:path - 指定用於解壓縮檔案的目標資料夾。
  • /c - 解壓縮檔案,但不進行安裝。
  • /c:path - 指定安裝程式 .inf 或 .exe 檔的路徑和名稱。
  • /r:n - 安裝之後一律不重新啟動電腦。
  • /r:i - 在必要時重新啟動電腦。如果要重新啟動才能完成安裝,則會自動重新啟動電腦。
  • /r:a - 安裝之後一律重新啟動電腦。
  • /r:s - 安裝之後直接重新啟動電腦,不提示使用者。
  • /n:v - 不檢查版本。將程式安裝在任何先前版本之上。
例如,如果要在不需要任何使用者操作且不強制電腦重新啟動的情況下安裝修補程式,請使用下列命令列:
q330994 /q:a /r:n

檔案資訊

此更新的英文版具有下列表格中所列的檔案屬性 (或更新檔案屬性)。這些檔案的日期和時間是以 Coordinated Universal Time (UTC) 表示。當您檢視檔案資訊時,它會轉換為當地時間。如果要查看 UTC 與當地時間的差異,請使用 [控制台] 中 [日期和時間] 工具的 [時區] 索引標籤。

Internet Explorer 6 SP1 (32 位元)

摺疊此表格展開此表格
日期時間版本大小檔案名稱
03-Mar-200304:246.0.2800.112375,776Directdb.dll
03-Mar-200304:416.0.2800.1165592,384Inetcomm.dll
09-Mar-200312:426.0.2800.112347,616Inetres.dll
03-Mar-200309:246.0.2800.112344,032Msident.dll
03-Mar-200303:576.0.2800.112356,832Msimn.exe
11-Oct-200202:086.0.2800.11581,174,528Msoe.dll
03-Mar-200303:576.0.2800.1123228,864Msoeacct.dll
03-Mar-200303:576.0.2800.11232,479,616Msoeres.dll
03-Mar-200303:576.0.2800.112391,136Msoert2.dll
03-Mar-200303:576.0.2800.112393,184Oeimport.dll
03-Mar-200303:576.0.2800.112355,808Oemig50.exe
03-Mar-200303:576.0.2800.112331,744Oemiglib.dll
03-Mar-200303:576.0.2800.112342,496Wab.exe
03-Mar-200303:576.0.2800.1123462,848Wab32.dll
03-Mar-200303:576.0.2800.112330,208Wabfind.dll
03-Mar-200303:576.0.2800.112377,824Wabimp.dll
03-Mar-200303:576.0.2800.112327,648Wabmig.exe

Internet Explorer 6 SP1 (64 位元)

摺疊此表格展開此表格
日期時間版本大小檔案名稱
05-Nov-200209:536.0.2800.1123251,904Directdb.dll
19-Feb-200303:196.0.2800.11652,197,504Inetcomm.dll
05-Nov-200209:536.0.2800.112347,104Inetres.dll
05-Nov-200209:536.0.2800.112363,488Msimn.exe
19-Feb-200303:376.0.2800.11584,482,560Msoe.dll
05-Nov-200209:536.0.2800.1123729,088Msoeacct.dll
05-Nov-200209:546.0.2800.11232,479,104Msoeres.dll
05-Nov-200209:536.0.2800.1123300,032Msoert2.dll
05-Nov-200209:536.0.2800.1123302,080Oeimport.dll
05-Nov-200209:546.0.2800.1123142,336Oemig50.exe
05-Nov-200209:546.0.2800.112373,728Oemiglib.dll
05-Nov-200209:536.0.2800.112387,040Wab.exe
05-Nov-200209:536.0.2800.11231,773,568Wab32.dll
05-Nov-200209:536.0.2800.112338,912Wabfind.dll
05-Nov-200209:536.0.2800.1123240,640Wabimp.dll
05-Nov-200209:536.0.2800.112371,680Wabmig.exe

Internet Explorer 6

摺疊此表格展開此表格
日期時間版本大小檔案名稱
17-Mar-200311:446.0.2727.1300594,944Inetcomm.dll
17-Mar-200311:446.0.2720.30001,175,040Msoe.dll

Internet Explorer 5.5 SP2

摺疊此表格展開此表格
日期時間版本大小檔案名稱
30-Jan-200304:265.50.4925.2800572,176Inetcomm.dll
15-Oct-200207:155.50.4922.15001,146,640Msoe.dll
注意 這個修補程式不包含檔案相依性。

移除資訊

如果要移除這個修補程式,請使用 [控制台] 中的 [新增或移除程式] (或 [新增/移除程式]) 工具。按一下 [Outlook Express Update Q330994],然後按一下 [變更/移除] (或 [新增/移除])。

屬性

文章編號: 330994 - 上次校閱: 2007年4月30日 - 版次: 4.7
這篇文章中的資訊適用於:
  • Microsoft Outlook Express 6.0?應用於:
    • Microsoft Windows XP Embedded
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 2000 Service Pack 2
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows NT 4.0 Service Pack 6a
    • Microsoft Windows XP Professional
    • Microsoft Windows Millennium Edition
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
關鍵字:?
kbwin2ksp4fix kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability KB330994
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com