VBCOM应用程序中的MSCOMCTL.OCX CVE-2012-1856和CVE-2012-0158 ActiveX漏洞

Question

我的公司向客户发送提醒跟踪VB6程序，该程序会发送有关截止日期的电子邮件提醒并跟踪用户回复。最近，我们被一位关心VB6漏洞的潜在客户接洽。他向我们发送了一个指向CVE网站的链接，我们发现了两个影响我们软件使用的ActiveX控件的漏洞 - CVE-2012-1856和CVE-2012-0158。我们非常希望确保我们不会让客户暴露于可能的漏洞。

CVE网页：https://www.cvedetails.com/vulnerability-list/vendor_id-26/product_id-322/version_id-66303/Microsoft-Visual-Basic-6.0.html

我在2015年的VB6论坛上发现了一个论坛帖子，其中一位用户声称以下与其中一个漏洞相关： （链接：http://www.vbforums.com/showthread.php?794875-VB6-Vulnerability）

  

对于VB6程序来说，这不是一个问题。

     

描述的问题仅在您从IE加载页面时才会暴露   一个恶意网站，你放松了足够的IE安全设置   允许页面中嵌入的ActiveX控件运行，或使用电子邮件   客户端支持嵌入式ActiveX控件来打开恶意软件   HTML格式的电子邮件，具有类似的宽松安全设置。唯一的   其他可能性是下载和运行你不应该的程序   信任。

     

就此而言，整个事情已经有3年了，而且早已存在   修补了受支持的Windows版本：

     

Microsoft安全公告MS12-027 - 严重   Microsoft安全公告MS12-060 - 严重

     

听起来像加拿大网络儿童只是在寻找一些   按

（链接至MS12-027：https://technet.microsoft.com/en-us/library/security/ms12-027.aspx）

（链接至MS12-060：https://technet.microsoft.com/en-us/library/security/MS12-060）

该帖子中链接的Microsoft安全公告似乎支持他声称这主要是基于网络的问题。但是，我仍然有几个关于这个主题的问题，并且很难在网上找到答案：

• 我们的VB6程序与IE或任何其他Microsoft程序没有任何交互。它从固定的用户电子邮件地址列表中接收大量电子邮件，但主要是监控回复行为以及用于识别预期回复的简短代码。没有附件或长字符串被处理，只有那么短的代码。该程序无法打开或处理.doc，.rtf或任何其他类似的文件类型。所有数据都写入本地数据库或从本地数据库读取。这些VB6漏洞是否存在影响我们计划的危险？
• 如果我们要在客户端站点上安装我们的程序，并在Windows系统文件文件夹中安装并注册旧版本的MSCOMCTL.OCX（覆盖新版本） - 这可能会打开我们所有客户端的Microsoft应用程序漏洞？如果他们安装了一堆受此漏洞影响的Microsoft程序，并且他们现在指向易受攻击的MSCOMCTL.OCX版本，那么在我看来，这样会使他们容易受到攻击。这个假设是否正确？
• 可以在Microsoft安全公告网页上下载的修补程序是针对受此漏洞影响的所有Microsoft程序按程序安装的。如果我想更新我的Visual Basic 6.0副本以修补我们的VB6应用程序中的漏洞，这是否足够或我是否需要为所有受影响的Microsoft程序安装更新？它们不只是指向同一个MSCOMCTL.OCX文件吗？为什么甚至需要多次更新？是否只是为每个MS程序更新Windows注册表中对OCX文件的引用？
• 另一位用户在上述论坛上发布了以下内容：

  

最糟糕的是，微软发现了跌跌撞撞的失误   几次（五次或六次）尝试安全汇总＆＃34;包。许多   版本包含＆＃34;关闭一个＆＃34;编程错误破坏了几个   包括控件。不要绊倒并下载其中一个......   你可能会不走运。它们无法卸载，因此您可以破解VB6   在你的机器上。

这让我非常警惕安装建议的更新（在MS12-027和MS12-060中提到） - 有谁知道这个用户的顾虑是否有效？有没有人对安全公告中提出的补丁有疑问？

对于我对此问题缺乏了解而道歉。任何有关这方面的信息都将非常感激。如果需要进一步的详细信息，请与我们联系。