Security VB6应用程序中的MSCOMCTL.OCX CVE-2012-1856和CVE-2012-0158 ActiveX漏洞
我的公司向客户分发了一个提醒跟踪VB6程序,该程序发送关于截止日期的电子邮件提醒,并跟踪用户回复。最近,一位担心VB6漏洞的潜在客户联系了我们。他向我们发送了CVE网站的链接,我们发现了两个影响我们软件使用的ActiveX控件的漏洞——CVE-2012-1856和CVE-2012-0158。我们非常热衷于确保我们的客户不会受到可能的利用 CVE网页: 我在2015年的一个VB6论坛上发现了一篇论坛帖子,其中一位用户声称与其中一个漏洞有关: (链接:) 这不是VB6程序的问题 所描述的问题仅在您从加载IE中的页面时才会暴露 一个恶意网站,你已经放松了IE安全设置,足以 允许嵌入在页面中的ActiveX控件运行或使用电子邮件 客户端支持嵌入ActiveX控件以打开恶意 HTML格式的电子邮件,具有类似的lax安全设置。唯一的 另一种可能是下载和运行不应该下载的程序 信任 就这件事而言,整个事件已经发生了3年,而且已经持续很久了 在受支持的Windows版本上修补: Microsoft安全公告MS12-027-严重 Microsoft安全公告MS12-060-严重 在我看来,加拿大的网络儿童只是在寻找一些 记者 (链接至MS12-027:) (链接至MS12-060:) 文章中链接的微软安全公告似乎支持了他的说法,即这主要是一个基于网络的问题。然而,我仍然有几个关于这个主题的问题,并且很难在网上找到答案:Security VB6应用程序中的MSCOMCTL.OCX CVE-2012-1856和CVE-2012-0158 ActiveX漏洞,security,vb6,activex,ocx,common-controls,Security,Vb6,Activex,Ocx,Common Controls,我的公司向客户分发了一个提醒跟踪VB6程序,该程序发送关于截止日期的电子邮件提醒,并跟踪用户回复。最近,一位担心VB6漏洞的潜在客户联系了我们。他向我们发送了CVE网站的链接,我们发现了两个影响我们软件使用的ActiveX控件的漏洞——CVE-2012-1856和CVE-2012-0158。我们非常热衷于确保我们的客户不会受到可能的利用 CVE网页: 我在2015年的一个VB6论坛上发现了一篇论坛帖子,其中一位用户声称与其中一个漏洞有关: (链接:) 这不是VB6程序的问题 所描述的问题仅在您从
- 我们的VB6程序与IE或任何其他Microsoft程序没有交互。它从一个固定的用户电子邮件地址列表中接收大量电子邮件,但它主要监控回复行为和用于识别预期回复的短代码。不处理附件或长字符串,只处理短代码。该程序无法打开或处理.doc、.rtf或任何其他类似文件类型。所有数据都写入或从本地数据库读取。这些VB6漏洞是否有影响我们程序的危险
- 如果我们要在客户端站点上安装我们的程序,并且它在windows系统文件文件夹中安装并注册MSCOMCTL.OCX的旧版本(覆盖较新版本),这是否会使我们客户端的所有Microsoft应用程序都暴露该漏洞?如果他们安装了大量受此漏洞影响的Microsoft程序,并且他们现在指向一个易受攻击的MSCOMCTL.OCX版本,在我看来,这会使他们容易受到攻击。这个假设正确吗
- 可在Microsoft安全公告网页上下载的修补程序旨在针对受该漏洞影响的所有Microsoft程序按程序安装。如果我想更新我的Visual Basic 6.0副本以修补VB6应用程序中的漏洞,这是否足够,还是需要为所有受影响的Microsoft程序安装更新?它们不是都指向同一个MSCOMCTL.OCX文件吗?为什么需要多次更新?是否只是为每个MS程序更新Windows注册表中对OCX文件的引用
- 另一位用户在上述论坛上发布了以下内容:
这使我对安装建议的更新(在MS12-027和MS12-060中提及)非常谨慎–该用户的担忧是否有效?安全公告中建议的修补程序是否存在任何问题?也许您应该将其分解为多个问题。你的每一颗子弹都可以单独处理……关于子弹1——小心潜在的“注射”问题。虽然这与您最初提到的安全问题无关,但无论何时处理用户提供的(或外部)文本,这都是一个普遍的问题。)#2-您的安装程序不应安装旧版本而不是新版本!