Udostępnij za pośrednictwem

Biuletyn zabezpieczeń

Biuletyn zabezpieczeń firmy Microsoft MS01-012 — krytyczne

Program Outlook, program Obsługi kart wirtualnych programu Outlook Express zawiera nieznakowany bufor

Opublikowano: 22 lutego 2001 r. | Zaktualizowano: 23 czerwca 2003 r.

Wersja: 2.2

Pierwotnie opublikowane: 22 lutego 2001 r.
Zaktualizowano: 23 czerwca 2003 r.

Podsumowanie

KtoTo należy przeczytać ten biuletyn:
Klienci korzystający z programu Microsoft® Outlook lub Outlook Express.

Wpływ luki w zabezpieczeniach:
Uruchamianie kodu wybranego przez osobę atakującą.

Zalecenie:
Klienci korzystający z programu Outlook lub Outlook Express powinni zastosować poprawkę.

Oprogramowanie, którego dotyczy problem:

  • Microsoft Outlook 98
  • Microsoft Outlook 2000
  • Microsoft Outlook Express 5.x

Informacje ogólne

Szczegóły techniczne

Opis techniczny:

Program Outlook Express udostępnia kilka składników, które są używane zarówno przez nią, jak i, jeśli są zainstalowane na maszynie programu Outlook. Jeden z takich składników używany do przetwarzania kart wirtualnych zawiera nieznakowany bufor.

Tworząc kartę wirtualną i edytując ją tak, aby zawierała specjalnie wybrane dane, a następnie wysyłając ją do innego użytkownika, osoba atakująca może spowodować wystąpienie jednego z dwóch efektów, jeśli odbiorca go otworzył. W mniej poważnym przypadku osoba atakująca może spowodować niepowodzenie klienta poczty. Jeśli tak się stało, odbiorca może wznowić normalne działanie, uruchamiając ponownie klienta poczty i usuwając obraźliwą wiadomość e-mail. W poważniejszym przypadku osoba atakująca może spowodować, że klient poczty uruchomi kod wybranego na komputerze użytkownika. Taki kod może wykonać dowolną żądaną akcję, ograniczoną tylko przez uprawnienia adresata na maszynie.

Ponieważ składnik, który zawiera wady dostarczane jako część OE, który sam jest dostarczany w ramach programu IE, poprawka jest określana pod względem wersji programu IE, a nie OE lub Outlook.

Czynniki korygujące

  • Nie ma możliwości automatycznego otwarcia karty wirtualnej, więc osoba atakująca musiałaby zachęcić adresata do otwarcia poczty, a następnie otworzyć kartę wirtualną. Jak zawsze najlepsze rozwiązania zalecają otwieranie niezaufanych załączników wiadomości e-mail.

Identyfikator luki w zabezpieczeniach:CAN-2001-0145

Często zadawane pytania

Jaki jest zakres tej luki w zabezpieczeniach?
Jest to luka w zabezpieczeniach dotycząca przepełninia buforu. Jeśli osoba atakująca utworzyła kartę wirtualną zawierającą specjalnie źle sformułowane dane, a następnie wysłała ją pocztą e-mail do osoby korzystającej z objętej problemem wersji programu Outlook lub Outlook Express, dane w karty wirtualnej mogą po otwarciu spowodować wybór kodu wybranego przez osobę atakującą do uruchomienia na komputerze odbiorcy. Taki kod może podjąć wszelkie działania, które użytkownik może podjąć, w tym dodawanie, zmienianie lub usuwanie danych, komunikowanie się z witrynami internetowymi, ponowne formatowanie dysku i inne akcje. Ta luka w zabezpieczeniach nie może spowodować automatycznego otwarcia karty wirtualnej. W rezultacie osoba atakująca musiałaby przekonać odbiorcę do otwarcia karty wirtualnej.

Co powoduje lukę w zabezpieczeniach?
W składniku programu Outlook Express istnieje nieznakowany bufor, który przetwarza karty wirtualne. Wysyłając kartę wirtualną zawierającą specjalnie wybrane dane w jednym z pól, osoba atakująca może przesunąć bufor i spowodować uruchomienie kodu, gdy karta wirtualna została otwarta.

Jeśli jest to luka w zabezpieczeniach składnika programu Outlook Express, dlaczego ma to wpływ na program Outlook?
Składnik, którego dotyczy problem, jest dostarczany w ramach programu Outlook Express, ale jest udostępniany przez program Outlook. W związku z tym program Outlook, jeśli jest zainstalowany, również ma wpływ na tę lukę w zabezpieczeniach.

Jaka jest różnica między programami Outlook i Outlook Express?
Outlook Express (OE) to bezpłatny, podstawowy klient poczty dostarczany jako część programu Internet Explorer. Domyślnie system OE jest instalowany w każdym systemie Windows. Z kolei program Outlook jest w pełni funkcjonalnym klientem poczty, który jest dostarczany zarówno jako produkt autonomiczny, jak i jako część rodziny pakietu Office. Jest on instalowany tylko na maszynie, jeśli użytkownik ją specjalnie zainstalował.

Co to jest karta wirtualna?
Karty wirtualne to wirtualne wizytówki — wizytówki, które można wysyłać za pośrednictwem poczty e-mail i dodawane do folderu Kontakty w programach Outlook i Outlook Express. Karty wirtualne są zwykle wysyłane jako załączniki do wiadomości e-mail.

Co jest nie tak ze sposobem obsługi kart wirtualnych w programie Outlook Express i programie Outlook?
Składnik, który przetwarza karty wirtualne po ich otwarciu, zawiera niezaznaczone bufor. W związku z tym, edytując kartę wirtualną w celu uwzględnienia zbyt długich danych w jednym z pól karty, osoba atakująca może spowodować przekroczenie buforu, gdy karta vCard została następnie otwarta.

Co umożliwiłoby to osobie atakującej wykonanie?
Luki w zabezpieczeniach przepełnienia buforu mogą być zwykle wykorzystywane na jeden z dwóch sposobów. Jeśli bufor jest przeładowy z danymi losowymi, aplikacja zwykle kończy się niepowodzeniem. Jeśli jednak jest on zastępowany przy użyciu specjalnie wybranych danych, w istocie można zmienić funkcjonalność aplikacji — w tym przypadku OE lub Outlook — gdy jest uruchomiona. W takim przypadku były atak (przekroczenie buforu z danymi losowymi) nie spowoduje znacznego osiągnięcia, z wyjątkiem tego, że klient poczty zakończy się niepowodzeniem. Jeśli tak się stanie, użytkownik może po prostu uruchomić go ponownie, usunąć obraźliwą wiadomość e-mail i kontynuować pracę. Jednak ten ostatni atak pozwoli atakującemu na wykonanie operacji OE lub Outlook na komputerze osoby, która otworzyła kartę wirtualną, ograniczona tylko przez uprawnienia odbiorcy na maszynie. Jeśli odbiorca miał kilka uprawnień na maszynie, kod może być w stanie wykonać bardzo mało. Z drugiej strony, jeśli odbiorca miał uprawnienia administracyjne na maszynie, kod może wykonać praktycznie wszystko na maszynie.

Czy osoba atakująca może automatycznie otworzyć kartę wirtualną?
L.p. Tylko adresat może otworzyć kartę vCard. Oznacza to, że osoba atakująca musiałaby przekonać lub zachęcić odbiorcę do jego otwarcia.

Czy karta vCard zostanie otwarta, gdy adresat odczytał wiadomość e-mail, do którego został dołączony?
L.p. Odbiorca musi najpierw otworzyć pocztę, a następnie otworzyć kartę vCard, aby można było wykorzystać lukę w zabezpieczeniach. Warto ponownie przypomnieć, że najlepsze rozwiązania w zakresie zabezpieczeń zaleca się, aby kiedykolwiek otworzyć niezaufany załącznik wiadomości e-mail. Oznacza to nie tylko, że jest to zły pomysł, aby otworzyć załącznik, który jest wysyłany do Ciebie od kogoś, kogo nie wiesz, ale także, że jest to zły pomysł, aby otworzyć załącznik od kogoś, kogo znasz, jeśli okoliczności e-mail wydają się niezwykłe.

Załóżmy, że odbiorca przeciągnął kartę vCard do folderu Kontakty bez jego otwierania. Czy stanowiłoby to ryzyko?
Tak. Składnik zawierający wadę jest wykonywany, gdy karta wirtualna zostanie skopiowana do folderu Kontakty.

Czy ktoś przypadkowo utworzy kartę wirtualną wykorzystującą tę lukę w zabezpieczeniach?
L.p. Karta wirtualna tego typu może być tworzona tylko przez dokładne zmodyfikowanie prawidłowej karty wirtualnej przy użyciu edytora szesnastkowego.

Dlaczego poprawka jest określona pod względem wersji programu IE, która znajduje się na maszynie, a nie w wersji OE lub Outlook?
Zacznijmy od tego, dlaczego poprawka nie jest określona pod względem wersji programu Outlook na komputerze. Jak wspomniano powyżej, składnik odpowiedzialny za lukę w zabezpieczeniach jest dostarczany jako część OE i jest współużytkowany przez program Outlook. W związku z tym wersja programu Outlook, która znajduje się na maszynie, nie ma żadnego wpływu na wymaganą wersję poprawki — jest to wersja OE, która jest ważna. Teraz przyjrzyjmy się, dlaczego poprawka nie jest określona pod względem wersji producenta OE. Gdyby system OE był obecny w systemie każdego użytkownika, warto to zrobić. Ale OE nie zawsze jest obecny. System OE jest instalowany domyślnie w ramach programu IE, więc jest on w zdecydowanej większości systemów użytkowników, ale nadal można go usunąć w czasie instalacji. Jeśli właściciel takiego systemu zainstalował program Outlook na maszynie, program Outlook stwierdzi, że wymagany składnik nie był obecny na maszynie i zainstalowałby wersję składnika OE odpowiadającą wersji programu IE na komputerze. (Program Outlook uaktualnia również wersję programu IE w niektórych przypadkach). W związku z tym jest to wersja programu IE, a nie wersja pakietu OE lub Outlook, która określa właściwą wersję poprawki, która musi zostać zainstalowana.

Jak mogę powiedzieć, jaka wersja programu IE jest w moim systemie?
Uruchom program IE, a następnie wybierz pozycję Informacje o programie Internet Explorer z menu Pomoc, aby wyświetlić numer wersji.

KtoTo należy zastosować poprawkę?
Każdy klient korzystający z programu Outlook Express lub Outlook powinien zastosować poprawkę.

Korzystam z programu Outlook, ale w czasie instalacji nie wybieram systemu operacyjnego. Czy potrzebuję poprawki?
Tak. Po zainstalowaniu programu Outlook sprawdza, czy są obecne potrzebne składniki OE. Jeśli tak nie jest, program Outlook je instaluje.

Co robi poprawka?
Poprawka powoduje obcięcie składnika, którego dotyczy problem, wszystkich danych wejściowych, które są dłuższe niż bufor przeznaczony do ich przechowywania.

Dostępność poprawek

Lokalizacje pobierania dla tej poprawki

Uwaga: zgodnie z opisem w często zadawanych pytaniach poprawka jest specyficzna dla wersji programu IE na komputerze, a nie wersji programu Outlook lub Outlook Express.

Dodatkowe informacje o tej poprawce

Platformy instalacyjne:

Poprawka jest dostępna do zainstalowania w systemach z dodatkiem Service Pack 1 programu IE 5.01, IE 5.01 z dodatkiem Service Pack 2 lub IE 5.5 z dodatkiem Service Pack 1.

Dołączanie do przyszłych dodatków Service Pack:

Rozwiązanie tego problemu zostanie uwzględnione w programie IE 5.5 z dodatkiem Service Pack 2 i programie IE 6

Weryfikowanie instalacji poprawek:

  • Aby sprawdzić, czy poprawka została zainstalowana na maszynie, otwórz program IE, wybierz pozycję Pomoc, a następnie wybierz pozycję Informacje w programie Internet Explorer i upewnij się, że Q283908 znajduje się na liście w polu Wersje aktualizacji.
  • Aby zweryfikować poszczególne pliki, użyj manifestu poprawki podanego w artykule bazy wiedzy Q283908

Zastrzeżenia:

  • Jeśli poprawka jest zainstalowana w systemie z uruchomioną wersją programu IE inną niż ta, dla której została zaprojektowana, zostanie wyświetlony komunikat o błędzie z informacją, że poprawka nie jest potrzebna. Ten komunikat jest niepoprawny, a użytkownicy, którzy widzą ten komunikat, powinni przeprowadzić uaktualnienie do wersji IE 5.01 SP1 lub IE 5.5 SP1 i zainstalować poprawkę.
  • Po zainstalowaniu w systemie Windows 2000 program IE 5.5 z dodatkiem SP1 nie uaktualnia wersji producenta OE do wersji wymaganej przez poprawkę. Jednak program IE 5.01 z dodatkiem SP1 lub Windows 2000 z dodatkiem SP1 zainstaluje poprawną wersję. W związku z tym użytkownicy systemu Windows 2000, którzy uaktualnili bezpośrednio do wersji IE 5.5 z dodatkiem SP1, muszą przejść na starszą wersję programu IE 5.01 z dodatkiem SP1 lub zastosować system Windows 2000 z dodatkiem SP1 przed zastosowaniem poprawki.

Lokalizacja:

Zlokalizowane wersje tej poprawki są opracowywane. Po zakończeniu będą one dostępne w lokalizacjach omówionych w temacie "Uzyskiwanie innych poprawek zabezpieczeń".

Uzyskiwanie innych poprawek zabezpieczeń:

Poprawki dla innych problemów z zabezpieczeniami są dostępne w następujących lokalizacjach:

  • Poprawki zabezpieczeń są dostępne w Centrum pobierania Microsoft i można je łatwo znaleźć, wyszukując słowo kluczowe "security_patch"
  • Poprawki są również dostępne w witrynie sieci Web WindowsUpdate

Inne informacje:

Podziękowania

Firma Microsoft dziękuje firmie Ollie Whitehouse z @Stake za zgłaszanie tego problemu i współpracę z nami w celu ochrony klientów.

Obsługa:

  • Artykuł z bazy wiedzy Microsoft Knowledge Base Q283908 omawia ten problem i będzie dostępny około 24 godzin po wydaniu tego biuletynu. Artykuły z bazy wiedzy można znaleźć w witrynie internetowej pomocy technicznej online firmy Microsoft.
  • Pomoc techniczna jest dostępna w usługach pomocy technicznej firmy Microsoft. Brak opłat za połączenia pomocy technicznej skojarzone z poprawkami zabezpieczeń.

Zasoby zabezpieczeń: witryna sieci Web Microsoft TechNet Security zawiera dodatkowe informacje o zabezpieczeniach produktów firmy Microsoft.

Zrzeczenie odpowiedzialności:

Informacje podane w bazie wiedzy Microsoft Knowledge Base są dostarczane "tak, jak to jest" bez gwarancji jakiegokolwiek rodzaju. Firma Microsoft nie udziela wszelkich gwarancji, wyraźnych lub domniemanych, w tym gwarancji możliwości handlowych i przydatności do określonego celu. W żadnym wypadku Firma Microsoft Corporation lub jej dostawcy nie ponosi odpowiedzialności za wszelkie szkody, w tym bezpośrednie, pośrednie, przypadkowe, wtórne, utratę zysków biznesowych lub szkody specjalne, nawet jeśli firma Microsoft Corporation lub jej dostawcy zostali poinformowani o możliwości takich szkód. Niektóre państwa nie zezwalają na wyłączenie lub ograniczenie odpowiedzialności za szkody wtórne lub przypadkowe, więc powyższe ograniczenie może nie mieć zastosowania.

Zmiany:

  • Wersja 1.0 (22 lutego 2001 r.): Utworzono biuletyn
  • Wersja 1.1 (27 lutego 2001 r.): Dodano zastrzeżenie dotyczące sytuacji, w której system Windows 2000 jest uaktualniany bezpośrednio do wersji IE 5.5 z dodatkiem SP1.
  • Wersja 2.1 (23 marca 2001 r.): Zaktualizowano sekcję Platforma instalacji, aby wskazać, że poprawkę można zastosować do programu IE 5.01 SP2.
  • Wersja 2.2 (23 czerwca 2003 r.): Zaktualizowano linki pobierania usługi Windows Update.

Zbudowany pod adresem 2014-04-18T13:49:36Z-07:00</https:>