Jesteś obecnie w trybie offline. Czekamy na ponowne połączenie z Internetem.

MS03-014: kwiecień 2003, poprawka zbiorcza dla programu Outlook Express

Ten artykuł został zarchiwizowany. Jest oferowany „taki, jaki jest” i nie będzie już aktualizowany.
Aby uzyskać informacje dotyczące różnic między klientami e-mail programu Microsoft Outlook i programu Microsoft Outlook Express, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
257824 Różnice między programami Outlook i Outlook Express
Streszczenie
Firma Microsoft wydała zbiorczą poprawkę dla programu Outlook Express. Zawiera ona aktualizacje dotyczące problemów, które opisano w następującym artykule z bazy wiedzy Microsoft Knowledge Base:

328676 MS02-058: OLEXP: Niesprawdzony bufor w protokole analizy S/MIME programu Outlook Express może spowodować uszkodzenie systemu
Poprawka opisana w tym artykule stosuje się do następujących wersji programu Microsoft Outlook Express:
  • Microsoft Outlook Express 6.0 z dodatkiem Service Pack 1, jeżeli jest używana z programem Internet Explorer 6.0 z dodatkiem Service Pack 1 w systemie Microsoft Windows 98 Wydanie drugie, Microsoft Windows Millennium Edition, Microsoft Windows NT 4.0 z dodatkiem Service Pack 6a, Microsoft Windows 2000 z dodatkiem Service Pack 2, Microsoft Windows 2000 z dodatkiem Service Pack 3, Microsoft Windows XP (tylko wersje 32-bitowe) lub Microsoft Windows XP z dodatkiem Service Pack 1 (wersje 32-bitowe lub 64-bitowe).
  • Microsoft Outlook Express 6.0, jeśli jest używana z programem Internet Explorer 6.0 w systemie operacyjnym Windows XP (tylko wersje 32-bitowe).
  • Microsoft Outlook Express 5.5 z dodatkiem Service Pack 2, jeśli jest używana z programem Internet Explorer 5.5 z dodatkiem Service Pack 2 w systemie Windows 98 Wydanie drugie, Windows Millennium Edition, Windows NT 4.0 z dodatkiem Service Pack 6a, Windows 2000 z dodatkiem Service Pack 2 lub Windows 2000 z dodatkiem Service Pack 3 albo z programem Internet Explorer 5.01 z dodatkiem Service Pack 3 w systemie Windows 2000 z dodatkiem Service Pack 3.
Poprawka opisana w tym artykule pomaga ochronić komputer przed luką istniejącą w procedurze obsługi adresów URL typu MHTML, polegającą na tym, że w przypadku dowolnego pliku, który może być renderowany jako tekst, procedura obsługi adresów URL typu MHTML pozwala na jego otwarcie i renderowanie jako fragmentu strony w programie Microsoft Internet Explorer. MHTML to skrót nazwy MIME Encapsulation of Aggregate HTML. Jest to standard internetowy, który definiuje strukturę MIME używaną do wysyłania zawartości HTML w treści wiadomości e-mail. Procedura obsługi adresów URL typu MHTML w systemie Windows jest częścią programu Outlook Express i dostarcza typ adresu URL, z którego można korzystać na komputerze lokalnym. Ten typ adresu URL (MHTML://) pozwala na otwieranie dokumentów MHTML z wiersza polecenia, z programu Internet Explorer, z okna dialogowego Uruchamianie (dostępnego z menu Start) lub przy użyciu Eksploratora Windows.

Ta luka w procedurze obsługi adresów URL typu MHTML umożliwia skonstruowanie adresu URL, który odwoływałby się do pliku tekstowego przechowywanego na komputerze lokalnym i powodował renderowanie tego pliku jako zawartości HTML. Jeśli plik zawierałby skrypt, skrypt ten zostałby uruchomiony w momencie uzyskania dostępu do pliku. Plik znajdowałby się na komputerze lokalnym, więc byłby renderowany w strefie zabezpieczeń Komputer lokalny. Pliki otwierane w strefie zabezpieczeń Komputer lokalny podlegają mniejszym ograniczeniom niż pliki otwierane w innych strefach zabezpieczeń.

Stosując tę metodę, atakujący mógłby podjąć próbę skonstruowania odpowiedniego adresu URL i umieszczenia go w witrynie sieci Web lub wysłania w wiadomości e-mail. W scenariuszu opartym na sieci Web, w którym użytkownik klika łącze URL w witrynie sieci Web, atakujący mógłby odczytać lub uruchomić pliki już znajdujące się na komputerze lokalnym. W przypadku ataku opartego na wiadomości e-mail, jeśli użytkownik używałby programu Outlook Express 6.0 lub Microsoft Outlook 2002 w jego konfiguracji domyślnej albo programu Microsoft Outlook 98 lub Microsoft Outlook 2000 z aktualizacją zabezpieczeń poczty e-mail dla programu Outlook, atak nie mógłby zostać zautomatyzowany i użytkownik nadal musiałby kliknąć łącze URL wysłane w wiadomości e-mail. Jeśli jednak użytkownik nie używałby programu Outlook Express 6.0 lub Outlook 2002 w jego konfiguracji domyślnej ani programu Outlook 98 lub Outlook 2000 z aktualizacją zabezpieczeń poczty e-mail dla programu Outlook, atakujący mógłby przeprowadzić atak automatyczny, nie wymagający kliknięcia łącza URL w wiadomości e-mail. W obu scenariuszach, opartym na sieci Web i na wiadomości e-mail, wszelkie ograniczenia uprawnień użytkownika ograniczałyby również możliwości skryptu napisanego przez atakującego.

Zastosowanie poprawki opisanej w następującym artykule z bazy wiedzy Microsoft Knowledge Base pomaga zapobiec możliwości załadowania przez atakującego pliku na komputer użytkownika i przekazania parametrów do pliku wykonywalnego.
810847 MS03-004: Luty 2003, Zbiorcza poprawka dla programu Internet Explorer
Oznacza to, że atakujący mógłby jedynie uruchomić program, który już istnieje na komputerze (jeśli znałby lokalizację programu), i nie byłby w stanie przekazać do tego programu żadnych parametrów startowych.

MHTML to standard wymiany zawartości HTML w wiadomościach e-mail, więc procedurę obsługi adresów URL typu MHTML zaimplementowano w programie Outlook Express. Program Internet Explorer również może renderować zawartość MHTML. Jednak funkcji MHTML nie zaimplementowano osobno w programie Internet Explorer — do renderowania zawartości HTML używa on programu Outlook Express.

Aby uzyskać więcej informacji dotyczących tej poprawki, odwiedź następującą witrynę firmy Microsoft w sieci Web:
Więcej informacji

Informacje o pobieraniu

Następujący plik jest dostępny do pobrania w Centrum pobierania firmy Microsoft:
PobierzPobierz pakiet 330994 teraz.Data wydania: 23 kwietnia 2003 r.

Aby uzyskać więcej informacji dotyczących sposobu pobierania plików Pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
119591 Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
Firma Microsoft przeskanowała ten plik w poszukiwaniu wirusów. Firma Microsoft użyła najnowszego oprogramowania do wykrywania wirusów dostępnego w dniu opublikowania pliku. Plik jest przechowywany na serwerach o podwyższonym poziomie zabezpieczeń, co zapobiega wprowadzaniu nieautoryzowanych zmian w pliku.

Informacje dotyczące dodatku Service Pack

Aby rozwiązać ten problem, należy uzyskać najnowszy dodatek Service Pack dla systemu Microsoft Windows 2000. Aby uzyskać więcej informacji, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
260910 Jak uzyskać najnowszy dodatek Service Pack dla systemu Windows 2000

Informacje o poprawce

Informacje o instalacji

Aby zainstalować tę poprawkę, należy zalogować się jako administrator. Aby zweryfikować, że ta poprawka jest zainstalowana na danym komputerze, należy sprawdzić pliki uwzględnione w sekcji „Informacje dotyczące plików” w tym artykule.

Wymagania wstępne

Program Outlook Express 6.0 z dodatkiem Service Pack 1

Aby zainstalować wersję tej poprawki przeznaczoną dla programu Outlook Express 6.0 z dodatkiem Service Pack 1, należy używać programu Microsoft Outlook Express 6.0 z dodatkiem Service Pack 1 uruchomionego na komputerze z systemem Microsoft Windows XP z dodatkiem Service Pack 1 (wersje 32-bitowe lub 64-bitowe).

Program Outlook Express 6.0

Aby zainstalować wersję tej poprawki przeznaczoną dla programu Outlook Express 6.0, należy używać programu Outlook Express 6.0 uruchomionego w 32-bitowej wersji systemu Windows XP.

Program Outlook Express 5.5 z dodatkiem Service Pack 2

Aby zainstalować wersję tej poprawki przeznaczoną dla programu Microsoft Outlook Express 5.5 z dodatkiem Service Pack 2 należy używać programu Microsoft Outlook Express 5.5 z dodatkiem Service Pack 2 uruchomionego na komputerze z systemem Microsoft Windows 2000 z dodatkiem Service Pack 3.
Aby uzyskać więcej informacji, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
328548 Jak uzyskać najnowszy dodatek Service Pack dla programu Internet Explorer 6
322389 Jak uzyskać najnowszy dodatek Service Pack dla systemu Windows XP
260910 Jak uzyskać najnowszy dodatek Service Pack dla systemu Windows 2000

Wymaganie ponownego rozruchu

W przypadku instalowania poprawek opisanych w tym artykule nie jest konieczny ponowny rozruch komputera, jeżeli są spełnione następujące warunki:
  • Przed zainstalowaniem poprawki zamknięto program Outlook Express.
  • Podczas instalowania poprawki okno dialogowe Internet Explorer — informacje jest zamknięte.

Stan poprzednich aktualizacji

Ta poprawka zastępuje biuletyn zabezpieczeń MS02-058 firmy Microsoft dla programu Outlook Express i aktualizację zbiorczą dla programu Outlook Express 6.0 z dodatkiem SP1.

Przełączniki instalacji

Pakiety aktualizacji dla tej poprawki obsługują następujące przełączniki:
  • /q — Określa tryb cichy (innymi słowy, powoduje pomijanie monitów) podczas wyodrębniania plików.
  • /q:u — Określa tryb cichy użytkownika, w którym użytkownik widzi niektóre okna dialogowe.
  • /q:a — Określa tryb cichy administratora, w którym użytkownik nie widzi żadnych okien dialogowych.
  • /t: ścieżka — Określa folder docelowy dla wyodrębnianych plików.
  • /c — Wyodrębnia pliki bez ich instalowania.
  • /c: ścieżka — Określa ścieżkę i nazwę pliku inf lub exe Instalatora.
  • /r:n — Nigdy nie uruchamia ponownie komputera po zakończeniu instalacji.
  • /r:i — Uruchamia ponownie komputer, jeśli jest to wymagane. Automatycznie uruchamia ponownie komputer, jeśli ponowne uruchomienie jest wymagane do ukończenia instalacji.
  • /r:a — Zawsze uruchamia ponownie komputer po zakończeniu instalacji.
  • /r:s — Uruchamia ponownie komputer po zakończeniu instalacji bez monitowania użytkownika.
  • /n:v — Bez sprawdzania wersji. Instaluje program, zastępując wszystkie poprzednie wersje.
Na przykład za pomocą następującego wiersza polecenia można zainstalować tę poprawkę bez jakiejkolwiek interwencji ze strony użytkownika i bez wymuszania ponownego uruchomienia komputera:
q330994 /q:a /r:n

Informacje dotyczące plików

Wersja angielskojęzyczna tej aktualizacji ma atrybuty plików pokazane w poniższej tabeli (lub nowsze). Daty i godziny odpowiadające tym plikom zostały podane w czasie UTC (Coordinated Universal Time). Są one zamieniane na czas lokalny po wyświetleniu informacji o pliku. Aby zobaczyć różnicę między czasem UTC a czasem lokalnym, należy skorzystać z karty Strefa czasowa w aplecie Data i godzina w Panelu sterowania.

Program Internet Explorer 6 z dodatkiem SP1 (wersja 32-bitowa)

   Data         Godzina   Wersja           Rozmiar  azwa pliku   -------------------------------------------------------------   03-Mar-2003  04:24:00  6.0.2800.1123     75 776  Directdb.dll   03-mar-2003  04:41     6.0.2800.1165    592 384  Inetcomm.dll   09-mar-2003  12:42     6.0.2800.1123     47 616  Inetres.dll   03-Mar-2003  09:24:00  6.0.2800.1123     44 032  Msident.dll   03-Mar-2003  03:57:00  6.0.2800.1123     56 832  Msimn.exe   11-paź-2002  02:08     6.0.2800.1158  1 174 528  Msoe.dll   03-Mar-2003  03:57:00  6.0.2800.1123    228 864  Msoeacct.dll   03-mar-2003  03:57     6.0.2800.1123  2 479 616  Msoeres.dll   03-Mar-2003  03:57:00  6.0.2800.1123     91 136  Msoert2.dll   03-Mar-2003  03:57:00  6.0.2800.1123     93 184  Oeimport.dll   03-Mar-2003  03:57:00  6.0.2800.1123     55 808  Oemig50.exe   03-Mar-2003  03:57:00  6.0.2800.1123     31 744  Oemiglib.dll   03-Mar-2003  03:57:00  6.0.2800.1123     42 496  Wab.exe   03-mar-2003  03:57     6.0.2800.1123    462 848  Wab32.dll   03-Mar-2003  03:57:00  6.0.2800.1123     30 208  Wabfind.dll   03-Mar-2003  03:57:00  6.0.2800.1123     77 824  Wabimp.dll   03-mar-2003  03:57     6.0.2800.1123     27 648  Wabmig.exe

Program Internet Explorer 6 z dodatkiem SP1 (wersja 64-bitowa)

   Data         Godzina   Wersja           Rozmiar  Nazwa pliku   -------------------------------------------------------------   05-lis-2002	 09:53    6.0.2800.1123    251 904  Directdb.dll   19-lut-2003   03:19    6.0.2800.1165  2 197 504  Inetcomm.dll   05-lis-2002	 09:53    6.0.2800.1123     47 104  Inetres.dll   05-lis-2002	 09:53    6.0.2800.1123     63 488  Msimn.exe   19-lut-2003   03:37    6.0.2800.1158  4 482 560  Msoe.dll   05-lis-2002	 09:53    6.0.2800.1123    729 088  Msoeacct.dll   05-lis-2002	 09:54    6.0.2800.1123  2 479 104  Msoeres.dll   05-lis-2002	 09:53    6.0.2800.1123    300 032  Msoert2.dll   05-lis-2002	 09:53    6.0.2800.1123    302 080  Oeimport.dll   05-lis-2002	 09:54    6.0.2800.1123    142 336  Oemig50.exe   05-lis-2002	 09:54    6.0.2800.1123     73 728  Oemiglib.dll   05-lis-2002	 09:53    6.0.2800.1123     87 040  Wab.exe   05-lis-2002	 09:53    6.0.2800.1123  1 773 568  Wab32.dll   05-lis-2002	 09:53    6.0.2800.1123     38 912  Wabfind.dll   05-lis-2002	 09:53    6.0.2800.1123    240 640  Wabimp.dll   05-lis-2002	 09:53    6.0.2800.1123     71 680  Wabmig.exe

Program Internet Explorer 6

   Data         Godzina   Wersja           Rozmiar  Nazwa pliku   -------------------------------------------------------------   17-mar-2003  11:44     6.0.2727.1300    594 944  Inetcomm.dll   17-mar-2003  11:44 	  6.0.2720.3000  1 175 040  Msoe.dll

Program Internet Explorer 5.5 z dodatkiem SP2

   Data         Godzina   Wersja            Rozmiar  Nazwa pliku   --------------------------------------------------------------   30-sty-2003  04:26     5.50.4925.2800    572 176  Inetcomm.dll   15-paź-2002  07:15  	  5.50.4922.1500  1 146 640  Msoe.dll
Uwaga: Ta poprawka nie zawiera zależności między plikami.

Informacje o usuwaniu

Aby usunąć tę poprawkę, należy użyć narzędzia Dodaj/Usuń programy w Panelu sterowania. Kliknij pozycję Outlook Express Update Q330994, a następnie kliknij przycisk Zmień/Usuń (lub Dodaj/Usuń).
patch31 security_patch
Właściwości

Identyfikator artykułu: 330994 — ostatni przegląd: 12/07/2015 13:02:30 — zmiana: 4.7

Microsoft Outlook Express 6.0, Microsoft Outlook Express 5.5, Microsoft Outlook Express 5.5, Microsoft Outlook Express 5.5, Microsoft Outlook Express 5.5

  • kbnosurvey kbarchive kbwin2ksp4fix kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability KB330994
Opinia