微軟安全公告 MS02-058-電腦教程

Microsoft Outlook Express 為了查證電子郵件信息的真實性，使用了 S/MIME 的數字簽名。當一個數字簽名相關的特殊錯誤發生時，代碼中存在的一個緩存溢出缺陷將導致警告信息的產生。

攻擊者可以通過創建一個具有數字簽名的電子郵件并編輯引入一些特殊數據，然后將它發送給其他用戶，當接收者打開或者預覽此電子郵件時，攻擊者可以達到如下兩種目的：

攻擊者可以使郵件客戶端崩潰。如果這種情況發生了，接收者可以通過重新啟動郵件客戶端并刪除此受感染的電子郵件來恢復日常工作。 在更嚴重一些的情況下，攻擊者可以利用此郵件客戶端在用戶的機器上運行攻擊者的代碼。這些代碼可以執行接收者在此機器上的權限范圍內的任何操作。

這個缺陷僅能影響那些用S/MIME簽名并發送給一個 Outlook Express 用戶的郵件信息。Microsoft Outlook 產品用戶將不會受到此缺陷的影響。

Outlook Express 運行在用戶的上下文中。在 壞的情況下，攻擊者只可以利用這個薄弱環節在用戶權限允許的范圍內運行代碼。對此用戶帳戶施加的任何限制都也將對攻擊者的代碼起到限制作用。

受影響系統：
Outlook Express 5.5 /6.0

解決方案：
下載補丁：http://www.microsoft.com/windows/ie/downloads/critical/q328676/default.asp