你目前正处于脱机状态,正在等待 Internet 重新连接

MS03-014:2003 年 4 月版 Outlook Express 累积修补程序

有关 Microsoft Outlook 和 Microsoft Outlook Express 电子邮件客户程序之间区别的信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
257824Outlook 和 Outlook Express 之间的区别
概要
Microsoft 已经发布了 Microsoft Outlook Express 累积修补程序。此累积修补程序包括用于解决以下 Microsoft 知识库文章中所述问题的更新:

328676 MS02-058:OLEXP:Outlook Express S/MIME 分析中未经检查的缓冲区可能会危及系统的安全
本文描述的修补程序适用于以下版本的 Microsoft Outlook Express:
  • Microsoft Outlook Express 6.0 Service Pack 1,当它在 Microsoft Windows 98 Second Edition、Microsoft Windows Millennium Edition、Microsoft Windows NT 4.0 Service Pack 6a、Microsoft Windows 2000 Service Pack 2、Microsoft Windows 2000 Service Pack 3、Microsoft Windows XP(仅限 32 位版本)以及 Microsoft Windows XP Service Pack 1 (32 位或 64 位版本)中与 Internet Explorer 6.0 Service Pack 1 一起使用时。
  • Microsoft Outlook Express 6.0,当它在 Windows XP(仅限 32 位版本)操作系统上与 Internet Explorer 6.0 一起使用时。
  • Microsoft Outlook Express 5.5 Service Pack 2,当它在 Windows 98 Second Edition、Windows Millennium Edition、Windows NT 4.0 Service Pack 6a、Windows 2000 Service Pack 2 和 Windows 2000 Service Pack 3 上与 Internet Explorer 5.5 Service Pack 2 一起使用时,或在 Windows 2000 Service Pack 3 上与 Internet Explorer 5.01 Service Pack 3 一起使用时。
本文描述的修补程序可帮助修补 MHTML URL 处理程序中存在的一个漏洞,该漏洞可导致在 Microsoft Internet Explorer 中打开可以呈现为文本的任何文件并将其呈现为页面的一部分。MHTML 表示 MIME Encapsulation of Aggregate HTML(对聚合 HTML 的 MIME 封装)。MHTML 是一种 Internet 标准,它定义了用于在电子邮件正文中发送 HTML 内容的 MIME 结构。Windows 中的 MHTML URL 处理程序是 Outlook Express 的一部分,它提供可在本地计算机上使用的 URL 类型。使用此 URL 类型 (MHTML://),可通过命令行、Internet Explorer、“开始”菜单上的“运行”对话框或 Windows 资源管理器打开 MHTML 文档。

由于在 MHTML URL 处理程序中存在这一漏洞,使得构建一个指向本地计算机上存储的文本文件的统一资源定位符 (URL) 成为可能,并有可能以 HTML 形式打开该文件。如果文本文件包含脚本,在访问文件时该脚本会运行。由于文件驻留在本地计算机上,它将呈现在“本地计算机”安全区域。从“本地计算机”安全区域打开的文件所受到的限制条件少于从其他安全区域打开的文件。

使用这种方法,攻击者可以尝试构建一个 URL,然后把它置于网站上或者使用电子邮件发送它。在基于 Web 的方案中,用户可单击存放在网站上的 URL,攻击者可以读取或打开已经位于本地计算机上的文件。在基于电子邮件的攻击中,如果用户使用默认配置下的 Outlook Express 6.0 或 Microsoft Outlook 2002,或者使用包含 Outlook 电子邮件安全更新程序的 Microsoft Outlook 98 或 Microsoft Outlook 2000,则攻击无法自动进行,用户仍然必须单击在电子邮件中发送的 URL。但是,如果用户不使用默认配置下的 Outlook Express 6.0 或 Outlook 2002,或者不使用包含 Outlook 电子邮件安全更新程序的 Outlook 98 或 2000,那么无需用户单击电子邮件中的 URL,攻击者就可以使攻击自动触发。在基于 Web 和电子邮件的方案中,对用户权限的任何限制也会限制攻击者的脚本功能。

应用以下 Microsoft 知识库文章中介绍的修补程序可以帮助阻止攻击者把文件加载到用户计算机上,并可防止向可执行文件传递参数。
810847 MS03-004:2003 年 2 月版 Internet Explorer 累积修补程序
这意味着攻击者只能启动计算机上已经存在的程序(如果攻击者知道程序的位置),而不能把参数传递给程序运行。

MHTML 是在电子邮件中交换 HTML 内容的一种标准,因此,已在 Outlook Express 中实现了 MHTML URL 处理程序功能。Internet Explorer 也可以呈现 MHTML 内容。但是,尚未在 Internet Explorer 中单独实现 MHTML 功能,该功能使用 Outlook Express 呈现 MHTML 内容。

有关此修补程序的更多信息,请访问下面的 Microsoft 网站:
更多信息

下载信息

可以从 Microsoft 下载中心下载以下文件:
下载立即下载 330994 程序包。 发布日期:2003 年 4 月 23 日

有关如何下载 Microsoft 支持文件的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以帮助防止在未经授权的情况下对其进行任何更改。

Service Pack 信息

要解决此问题,请获取最新的 Microsoft Windows 2000 Service Pack。有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910 如何获取最新的 Windows 2000 Service Pack

修补程序信息

安装信息

您必须以管理员的身份登录,才能安装此修补程序。要验证您的计算机上是否已安装此修补程序,请检查本文“文件信息”一节中的文件。

先决条件

Outlook Express 6.0 Service Pack 1

要安装此修补程序的 Outlook Express 6.0 Service Pack 1 版本,必须在运行 Microsoft Windows XP Service Pack 1(32 位或 64 位版本)的计算机上运行 Microsoft Outlook Express 6.0 Service Pack 1。

Outlook Express 6.0

要安装此修补程序的 Outlook Express 6.0 版本,必须在 32 位版本的 Windows XP 上运行 Outlook Express 6.0。

Outlook Express 5.5 Service Pack 2

要安装此修补程序的 Microsoft Outlook Express 5.5 Service Pack 2 版本,必须在运行 Microsoft Windows 2000 Service Pack 3 的计算机上运行 Microsoft Outlook Express 5.5 Service Pack 2。
有关更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
328548如何获取最新的 Internet Explorer 6 Service Pack
322389 如何获取最新的 Windows XP Service Pack
260910 如何获取最新的 Windows 2000 Service Pack

重新启动要求

在安装本文中描述的修补程序时,如果满足以下条件,则不必重新启动计算机:
  • 在安装此修补程序之前关闭了 Outlook Express。
  • 安装此修补程序时未打开“关于 Internet Explorer”对话框。

上一个更新的状态

此修补程序将替代用于 Outlook Express 的 Microsoft 安全公告 MS02-058 和 Outlook Express 6.0 SP1 累积更新程序。

安装开关

此修补程序的更新程序包支持下列开关:
  • /q - 解压缩文件时指定安静模式(即不显示提示)。
  • /q:u - 指定用户安静模式,向用户显示某些对话框。
  • /q:a - 指定管理员安静模式,不向用户显示任何对话框。
  • /t: path - 指定用于解压缩文件的目标文件夹。
  • /c - 解压缩文件但不进行安装。
  • /c: path - 指定安装程序的 .inf 文件或 .exe 文件的路径和名称。
  • /r:n - 安装后从不重新启动计算机。
  • /r:i - 根据需要重新启动计算机。如果需要重新启动计算机以完成安装,则会自动重新启动。
  • /r:a - 安装后始终重新启动计算机。
  • /r:s - 安装后不提示用户就重新启动计算机。
  • /n:v - 不检查版本。以覆盖任何旧版本的方式安装程序。
例如,使用下面的命令行安装此修补程序,无需任何用户干预并且不强迫计算机重新启动:
q330994 /q:a /r:n

文件信息

此更新的英文版具有下表中列出的文件属性(或更新的文件属性)。这些文件的日期和时间按协调世界时 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中“日期和时间”工具的“时区”选项卡。

Internet Explorer 6 SP1(32 位)

日期         时间   版本               大小    文件名--------------------------------------------------------------03-Mar-2003  04:24  6.0.2800.1123    75,776    Directdb.dll03-Mar-2003  04:41  6.0.2800.1165   592,384    Inetcomm.dll09-Mar-2003  12:42  6.0.2800.1123    47,616    Inetres.dll03-Mar-2003  09:24  6.0.2800.1123    44,032    Msident.dll03-Mar-2003  03:57  6.0.2800.1123    56,832    Msimn.exe11-Oct-2002  02:08  6.0.2800.1158 1,174,528    Msoe.dll03-Mar-2003  03:57  6.0.2800.1123   228,864    Msoeacct.dll03-Mar-2003  03:57  6.0.2800.1123 2,479,616    Msoeres.dll03-Mar-2003  03:57  6.0.2800.1123    91,136    Msoert2.dll03-Mar-2003  03:57  6.0.2800.1123    93,184    Oeimport.dll03-Mar-2003  03:57  6.0.2800.1123    55,808    Oemig50.exe03-Mar-2003  03:57  6.0.2800.1123    31,744    Oemiglib.dll03-Mar-2003  03:57  6.0.2800.1123    42,496    Wab.exe03-Mar-2003  03:57  6.0.2800.1123   462,848    Wab32.dll03-Mar-2003  03:57  6.0.2800.1123    30,208    Wabfind.dll03-Mar-2003  03:57  6.0.2800.1123    77,824    Wabimp.dll03-Mar-2003  03:57  6.0.2800.1123    27,648    Wabmig.exe

Internet Explorer 6 SP1(64 位)

日期         时间   版本                大小   文件名--------------------------------------------------------------05-Nov-2002  09:53  6.0.2800.1123    251,904   Directdb.dll19-Feb-2003  03:19  6.0.2800.1165  2,197,504   Inetcomm.dll05-Nov-2002  09:53  6.0.2800.1123     47,104   Inetres.dll05-Nov-2002  09:53  6.0.2800.1123     63,488   Msimn.exe19-Feb-2003  03:37  6.0.2800.1158  4,482,560   Msoe.dll05-Nov-2002  09:53  6.0.2800.1123    729,088   Msoeacct.dll05-Nov-2002  09:54  6.0.2800.1123  2,479,104   Msoeres.dll05-Nov-2002  09:53  6.0.2800.1123    300,032   Msoert2.dll05-Nov-2002  09:53  6.0.2800.1123    302,080   Oeimport.dll05-Nov-2002  09:54  6.0.2800.1123    142,336   Oemig50.exe05-Nov-2002  09:54  6.0.2800.1123     73,728   Oemiglib.dll05-Nov-2002  09:53  6.0.2800.1123     87,040   Wab.exe05-Nov-2002  09:53  6.0.2800.1123  1,773,568   Wab32.dll05-Nov-2002  09:53  6.0.2800.1123     38,912   Wabfind.dll05-Nov-2002  09:53  6.0.2800.1123    240,640   Wabimp.dll05-Nov-2002  09:53  6.0.2800.1123     71,680   Wabmig.exe

Internet Explorer 6

日期         时间   版本                大小   文件名--------------------------------------------------------------17-Mar-2003  11:44  6.0.2727.1300    594,944   Inetcomm.dll17-Mar-2003  11:44  6.0.2720.3000  1,175,040   Msoe.dll

Internet Explorer 5.5 SP2

日期         时间   版本                大小   文件名--------------------------------------------------------------30-Jan-2003  04:26  5.50.4925.2800   572,176   Inetcomm.dll15-Oct-2002  07:15  5.50.4922.1500 1,146,640   Msoe.dll
注意:此修补程序不包含文件依存关系。

删除信息

要删除此修补程序,请使用“控制面板”中的“添加或删除程序”(“添加/删除程序”)工具。单击“Outlook Express 更新 Q330994”,然后单击“更改/删除”(或“添加/删除”)。
patch31 security_patch
属性

文章 ID:330994 - 上次审阅时间:04/29/2007 17:08:08 - 修订版本: 4.7

  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 5.5
  • kbwin2ksp4fix kbbug kbfix kbsecbulletin kbsecurity kbsecvulnerability KB330994
反馈
s" '="">