MS02-058: OLEXP: Un buffer non controllato nell'analisi S/MIME di Outlook Express potrebbe consentire di danneggiare il sistema

Questo articolo è stato archiviato. L’articolo, quindi, viene offerto “così come è” e non verrà più aggiornato.
Per informazioni sulle differenze tra i client di posta elettronica Microsoft Outlook Express e Microsoft Outlook, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
257824 OL2000: Differenze tra Outlook e Outlook Express
Sintomi
Per consentire la verifica dell'autenticità dei messaggi di posta elettronica, Outlook Express supporta la firma digitale dei messaggi mediante tecnologia S/MIME (Secure/Multipurpose Internet Mail Extension). Il codice che genera un messaggio di avviso quando è presente una particolare condizione di errore contiene un problema di protezione relativo a un sovraccarico del buffer. Tale condizione di errore è associata alle firme digitali.

Se un utente malintenzionato crea un messaggio di posta elettronica dotato di firma digitale, lo modifica introducendovi determinati dati e lo invia a un altro utente, quando il destinatario lo aprirà o lo visualizzerà in anteprima l'utente malintenzionato potrebbe causare uno dei due effetti descritti di seguito:
  • Nel caso meno grave l'utente malintenzionato potrebbe fare in modo che il client di posta elettronica si blocchi. In tal caso, il destinatario potrà riavviare il client di posta elettronica ed eliminare il messaggio che causa il problema, in modo da ripristinare il normale funzionamento del client.
  • Nel caso più grave l'utente malintenzionato potrebbe fare in modo che il client di posta elettronica esegua qualsiasi codice scelto dall'aggressore nel computer del mittente. L'aggressore può scegliere codice in grado di svolgere qualsiasi azione, purché consentita dalle autorizzazioni del mittente per il computer.
Questo problema di protezione riguarda solo i messaggi a cui è stata apposta una firma digitale utilizzando la tecnologia S/MIME e inviati a un utente di Outlook Express. Gli utenti di Microsoft Outlook non sono soggetti a questo problema.
Risoluzione
In questa sezione vengono fornite le soluzioni per le seguenti versioni di Outlook Express:

Outlook Express 6.0

La patch per questo problema è inclusa in Microsoft Internet Explorer versione 6 Service Pack 1 (SP1) e Microsoft Windows XP SP1. Per ulteriori informazioni, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
328548 Come ottenere il service pack più recente per Internet Explorer 6
322389 Come ottenere il service pack più recente per Windows XP

Informazioni per il download delle singole patch

Il seguente file è disponibile per il download dall'Area download Microsoft:

Data di rilascio: 10 ottobre 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file è stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus più recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

Informazioni sull'installazione

Questa patch supporta i seguenti parametri di installazione:
  • /q - Consente di specificare la modalità non interattiva, in cui non è visualizzata alcuna richiesta all'utente durante l'estrazione dei file.
  • /q:u - Consente di specificare la modalità non interattiva per l'utente, in cui vengono visualizzate alcune finestre di dialogo.
  • /q:a - Consente di specificare la modalità non interattiva amministratore, in cui all'utente non viene visualizzata alcuna finestra di dialogo.
  • /t:percorso - Consente di specificare la cartella di destinazione per i file estratti.
  • /c - Consente di estrarre i file senza installarli.
  • /c:percorso - Consente di specificare il percorso e il nome del file INF o EXE di installazione.
  • /r:n - Consente di non riavviare mai il computer dopo l'installazione.
  • /r:i - Consente di riavviare il computer se richiesto. Il computer viene automaticamente riavviato se necessario per completare l'installazione.
  • /r:a - Consente di imporre il riavvio del computer dopo l'installazione.
  • /r:s - Consente di imporre il riavvio automatico del computer, senza previa richiesta, al termine dell'installazione.
  • /n:v - Consente di non effettuare il controllo della versione. Il programma viene installato sovrascrivendo qualsiasi versione precedente.
Per installare, ad esempio, la patch senza alcun intervento da parte dell'utente, evitando il riavvio del computer una volta terminata l'installazione, utilizzare la seguente riga di comando:
q328676 /q:u /r:n

Informazioni sui file

La versione in lingua inglese di questa correzione presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
   Data           Ora      Versione       Dimensione   Nome file   -------------------------------------------------------------   30/08/2002     18.16    6.0.2720.3000   1.175.040   Msoe.dll				
NOTA: a causa delle dipendenze fra i file, è possibile che questo aggiornamento contenga ulteriori file.
torna all'elenco delle versioni della risoluzione

Outlook Express 5.5

È disponibile una correzione supportata da Microsoft, che è tuttavia destinata esclusivamente alla correzione del problema descritto in questo articolo. Applicarla solo ai computer che si ritengono soggetti al rischio di attacchi. Per determinare il livello di rischio cui è soggetto il computer, valutarne attentamente il grado di accessibilità fisica, la connessione di rete e a Internet e altri fattori. Vedere il relativo Bollettino Microsoft sulla sicurezza (informazioni in lingua inglese) per determinare il livello di rischio. È possibile che su questa correzione vengano eseguite ulteriori verifiche. Se il computer è a rischio, si consiglia di applicare la correzione dell'errore immediatamente. In caso contrario si consiglia di attendere la versione successiva del service pack di Internet Explorer 5.5 contenente tale correzione.

Per risolvere immediatamente questo problema, scaricare la correzione come indicato in questo articolo oppure contattare il Servizio Supporto Tecnico Clienti Microsoft. Per un elenco completo di numeri di telefono del Servizio Supporto Tecnico Clienti Microsoft e per informazioni sui costi dell'assistenza, visitare il sito Web Microsoft all'indirizzo:NOTA: in casi particolari, le spese normalmente addebitate per le chiamate al Servizio Supporto Tecnico Clienti Microsoft potrebbero essere annullate qualora un addetto del Servizio Supporto Tecnico Clienti Microsoft dovesse determinare che uno specifico aggiornamento risolverà il problema. I normali costi del Servizio Supporto Tecnico Clienti verranno applicati per eventuali ulteriori domande e problemi che non dovessero rientrare nello specifico aggiornamento in questione.

Informazioni sul download

Il seguente file è disponibile per il download dall'Area download Microsoft:
Data di rilascio: 10 ottobre 2002

Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
119591 Come ottenere file di supporto Microsoft dai servizi online
Il file è stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus più recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server protetti che impediscono modifiche non autorizzate.

Informazioni sull'installazione

Questa patch richiede Internet Explorer 5.5 Service Pack 2 (SP2). Per ulteriori informazioni, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
276369 Come ottenere l'ultimo Service Pack per Internet Explorer 5.5
Questa patch supporta i seguenti parametri di installazione:
  • /q - Consente di specificare la modalità non interattiva, in cui non è visualizzata alcuna richiesta all'utente durante l'estrazione dei file.
  • /q:u - Consente di specificare la modalità non interattiva per l'utente, in cui vengono visualizzate alcune finestre di dialogo.
  • /q:a - Consente di specificare la modalità non interattiva amministratore, in cui all'utente non viene visualizzata alcuna finestra di dialogo.
  • /t:percorso - Consente di specificare la cartella di destinazione per i file estratti.
  • /c - Consente di estrarre i file senza installarli.
  • /c:percorso - Consente di specificare il percorso e il nome del file INF o EXE di installazione.
  • /r:n - Consente di non riavviare mai il computer dopo l'installazione.
  • /r:i - Consente di riavviare il computer se richiesto. Il computer viene automaticamente riavviato se necessario per completare l'installazione.
  • /r:a - Consente di imporre il riavvio del computer dopo l'installazione.
  • /r:s - Consente di imporre il riavvio automatico del computer, senza previa richiesta, al termine dell'installazione.
  • /n:v - Consente di non effettuare il controllo della versione. Il programma viene installato sovrascrivendo qualsiasi versione precedente.
Per installare, ad esempio, la patch senza alcun intervento da parte dell'utente, evitando il riavvio del computer una volta terminata l'installazione, utilizzare la seguente riga di comando:
328389 /q:u /r:n

Informazioni sui file

La versione in lingua inglese di questa correzione presenta gli attributi di file elencati nella tabella seguente (o attributi successivi). Date e ore elencate di seguito sono espresse in UTC. Quando si visualizzano le informazioni sul file, l'ora viene convertita in ora locale. Per calcolare la differenza tra l'ora UTC e quella locale, utilizzare la scheda Fuso orario dello strumento Data e ora del Pannello di controllo.
   Data         Ora     Versione        Dimensione    Nome file   ---------------------------------------------------------------   13/09/2002   20.33   5.50.4920.2300     571.152    Inetcomm.dll   13/09/2002   20.34   5.50.4920.2300   1.146.640    Msoe.dll				
NOTA: a causa delle dipendenze fra i file, è possibile che questo aggiornamento contenga ulteriori file.
torna all'elenco delle versioni della risoluzione
Status
Microsoft ha confermato che questo problema può determinare una certa vulnerabilità nelle funzioni di protezione dei prodotti Microsoft elencati alla fine di questo articolo.
Informazioni
Per ulteriori informazioni su questo problema di protezione, visitare il seguente sito Web Microsoft (informazioni in lingua inglese): Per ulteriori informazioni sui problemi corretti da questa patch, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito (il contenuto potrebbe essere in inglese):
328389 OLEXP: Rollup di Outlook Express 5.5
security_patch
Proprietà

ID articolo: 328676 - Ultima revisione: 02/26/2014 20:58:09 - Revisione: 2.2

  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 6.0
  • kbnosurvey kbarchive kbbug kbfix kbsecvulnerability kbie600presp1fix kbsecurity kbsecbulletin kbwinxpsp1fix KB328676
Feedback