[MS02-058] Outlook Express の S/MIME 解析の未チェックのバッファによりシステムが侵害される

この記事は、以前は次の ID で公開されていました: JP328676
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
Microsoft Outlook と Microsoft Outlook Express の相違点の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
257824 [OL2000] Outlook と Outlook Express の相違点
現象
Outlook Express では、電子メールの信頼性を検証するために、S/MIME (Secure/Multipurpose Internet Mail Extension) によるメッセージのデジタル署名がサポートされています。デジタル署名に関連する特定のエラー状態が発生したときに警告メッセージを生成するコードに、バッファ オーバーランの脆弱性が存在します。

攻撃者がデジタル署名付きの電子メールを作成し、それを編集して特定のデータを組み込んだ後に別のユーザーに送信した場合、受信者がその電子メールを開いたりプレビューしたりしたときに、以下のいずれかの問題が発生することがあります。
  • 深刻度が比較的低い例では、攻撃者はメール クライアントを異常終了させる可能性があります。この問題が発生した場合、受信者はメール クライアントを再起動して問題のメールを削除することにより、通常の操作を再開することができます。
  • より深刻な場合、ユーザーのコンピュータのメール クライアントで攻撃者の任意のコードが実行される可能性があります。そのコードは攻撃者の意図したあらゆる操作を実行できます。その操作を制限できるのは、コンピュータ上での受信者のアクセス許可のみです。
この脆弱性は、S/MIME によって署名された、Outlook Express ユーザー宛てのメッセージにのみ影響します。Microsoft Outlook ユーザーは、この脆弱性の影響を受けません。
解決方法
ここでは、Outlook Express の以下のバージョンに対する解決方法を記載しています。

Outlook Express 6.0

この問題を解決するには、Internet Explorer 6 の最新の Service Pack を入手します。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
328548 最新の Internet Explorer 6 Service Pack を入手する方法
この脆弱性に対処する修正プログラムは、Microsoft Internet Explorer 6 Service Pack 1 (SP1) および Microsoft Windows XP SP1 に収録されています。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
328548 [IE] 最新の Internet Explorer 6 Service Pack を入手する方法
322389 最新の Windows XP Service Pack を入手する方法

個別の修正プログラムのダウンロード情報

下記のファイルは、「Microsoft ダウンロードセンター」からダウンロードできます。

リリース日 : 2002 年 10 月 10 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

インストール情報

この修正プログラムでは、以下のセットアップ スイッチが使用できます。
  • /q - ファイルの展開を非表示モードで実行します (メッセージを一部表示しません)。
  • /q:u - ユーザー非表示モード (ユーザーに一部のダイアログ ボックスを表示します)。
  • /q:a - 管理者非表示モード (ユーザーに一切ダイアログ ボックスを表示しません)。
  • /t:パス - ファイルの展開先フォルダを指定します。
  • /c - インストールを実行せずにファイルの展開のみ行います。
  • /c:パス - セットアップ .inf または .exe ファイルのパスと名前を指定します。
  • /r:n - インストール完了後にコンピュータを再起動しません。
  • /r:i - 必要な場合にコンピュータを再起動します。インストールを完了するために再起動が必要な場合は、自動的に再起動します。
  • /r:a - インストール完了後にコンピュータを必ず再起動します。
  • /r:s - インストール完了後、ユーザーにメッセージを表示せずにコンピュータを再起動します。
  • /n:v - バージョン チェックを実行しません。プログラムのインストール時に以前のバージョンをすべて上書きします。
たとえば、修正プログラムのインストールの際にユーザー入力を省略し、コンピュータが強制的に再起動されないようにするには、次のコマンド ラインを使用します。
q328676 /q:u /r:n

ファイル情報

修正プログラム (日本語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付          時刻    バージョン         サイズ        ファイル名   ----------------------------------------------------------   2002/08/30      18:16   6.0.2720.3000   1,175,040   Msoe.dll
: ファイルの依存関係のため、この修正プログラムには他のファイルも含まれていることがあります。

Outlook Express 5.5

マイクロソフトでは、現在この問題を修正する修正プログラムを提供中ですが、この修正プログラムはこの資料に記載されている問題の修正のみを目的としているため、攻撃のおそれがあると判断したシステムにのみ適用してください。コンピュータの物理的なアクセス可能性、ネットワークやインターネットの接続性などの要因を評価してコンピュータの危険度を判断してください。この判断には、マイクロソフト セキュリティ情報が役立ちます。この修正プログラムは、今後さらにテストを受ける場合があります。システムへの危険性が高い場合は、この修正プログラムを適用することを推奨します。システムへの危険性が高くない場合は、この修正プログラムが含まれる次の Internet Explorer 5.5 Service Pack がリリースされるまで待つことを推奨します。

ダウンロード情報

下記のファイルは、「Microsoft ダウンロードセンター」からダウンロードできます。
リリース日 : 2002 年 10 月 10 日

マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

インストール情報

この修正プログラムを適用するには、Internet Explorer 5.5 Service Pack 2 (SP2) が必要です。関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
276369 Internet Explorer 5.5 の最新の Service Pack を入手する方法
この修正プログラムでは、以下のセットアップ スイッチが使用できます。
  • /q - ファイルの展開を非表示モードで実行します (メッセージを一部表示しません)。
  • /q:u - ユーザー非表示モード (ユーザーに一部のダイアログ ボックスを表示します)。
  • /q:a - 管理者非表示モード (ユーザーに一切ダイアログ ボックスを表示しません)。
  • /t:パス - ファイルの展開先フォルダを指定します。
  • /c - インストールを実行せずにファイルの展開のみ行います。
  • /c:パス - セットアップ .inf または .exe ファイルのパスと名前を指定します。
  • /r:n - インストール完了後にコンピュータを再起動しません。
  • /r:i - 必要な場合にコンピュータを再起動します。インストールを完了するために再起動が必要な場合は、自動的に再起動します。
  • /r:a - インストール完了後にコンピュータを必ず再起動します。
  • /r:s - インストール完了後、ユーザーにメッセージを表示せずにコンピュータを再起動します。
  • /n:v - バージョン チェックを実行しません。プログラムのインストール時に以前のバージョンをすべて上書きします。
たとえば、修正プログラムのインストールの際にユーザー入力を省略し、コンピュータが強制的に再起動されないようにするには、次のコマンド ラインを使用します。
328389 /q:u /r:n

ファイル情報

修正プログラム (日本語版) のファイル属性は次表のとおりです。ただし、これより新しい修正プログラムがリリースされている可能性もあります。
   日付          時刻    バージョン          サイズ        ファイル名   ---------------------------------------------------------------   2002/09/13     16:33   5.50.4920.2300     571,152   Inetcomm.dll   2002/09/13     16:48   5.50.4920.2300   1,146,640   Msoe.dll
: ファイルの依存関係のため、この修正プログラムには他のファイルも含まれていることがあります。
状況
マイクロソフトでは、この問題によって、この資料の冒頭に記載したマイクロソフト製品に何らかのセキュリティの脆弱性が生じることを認識しています。
詳細
この問題の詳細については、次のマイクロソフト Web サイトを参照してください。この修正プログラムでの修正内容の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。
328389 [OLEXP] Outlook Express 5.5 修正プログラム
security_patch
プロパティ

文書番号:328676 - 最終更新日: 02/24/2014 20:31:45 - リビジョン: 1.4

  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • kbnosurvey kbarchive inetcomm.dll kbbug kbfix kbie600presp1fix kbsecbulletin kbsecurity kbsecvulnerability kbwinxppresp1fix kbwinxpsp1fix ms02-058 msoe.dll oe security smime バッファオーバーラン 電子署名 KB328676
フィードバック