发布日期：2004.04.13
版本号：1.0

摘要：

本文档的目标读者：安装使用Microsoft® Outlook Express® 的客户
安全漏洞的影响：远程代码执行
最高严重等级：严重
建议：用户应立即安装安全更新
安全更新替代：此公告代替MS03-014。
注意：无

受影响的软件：

• Microsoft Windows NT® Workstation 4.0 Service Pack 6a
 
• Microsoft Windows NT Server 4.0 Service Pack 6a
 
• Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack 6
 
• Microsoft Windows 2000 Service Pack 2, Microsoft Windows 2000 Service Pack 3, Microsoft Windows 2000 Service Pack 4
 
• Microsoft Windows XP and Microsoft Windows XP Service Pack 1
 
• Microsoft Windows XP 64-Bit Edition Service Pack 1
 
• Microsoft Windows XP 64-Bit Edition Version 2003
 
• Microsoft Windows Server™ 2003
 
• Microsoft Windows Server 2003 64-Bit Edition
 
• Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE), and Microsoft Windows Millennium Edition (ME) ? Review the FAQ section of this bulletin for details about these operating systems.
 
受影响组件:

• Microsoft Outlook Express 5.5 SP2: 下载更新
 
• Microsoft Outlook Express 6: 下载更新
 
• Microsoft Outlook Express 6 SP1: 下载更新
 
• Microsoft Outlook Express 6 SP1 (64 bit Edition): 下载更新
 
• Microsoft Outlook Express 6 on Windows Server 2003: 下载更新
 
• Microsoft Outlook Express 6 on Windows Server 2003 (64 bit edition): 下载更新 

上面列出的软件已过测试，以确定上述版本是否会受到影响。其他版本已不再受支持，他们可能会也可能不会受到影响。

微软的安全公告:
http://www.microsoft.com/technet/security/Bulletin/MS04-013.mspx

（以上链接均连到第三方网站）

技术说明：

这是个累积更新包括任何以前在Outlook Express 5.5 and Outlook Express 6发布的功能性更新。又消除一个攻击者能够利用的新漏洞来访问文档并完全控制受影响系统。
微软建议立即安装此安全更新。

漏洞描述：

在MS Outlook Express中存在一个安全漏洞，在Outlook Express没有被在系统上以默认e-mail reader用时攻击者能够利用这个漏洞访问文档并完全控制受影响系统。

在处理MHTML URLs时存在远程代码执行漏洞，攻击者能够在本地机器安全zone里IE里运行HTML代码，这样攻击者就能够完全控制受影响系统。

严重等级和漏洞标识：

修订版本: V1.0 (2004年04月13日):公告创建