我的公司向客户分发了一个提醒跟踪 VB6 程序,该程序发送有关截止日期的电子邮件提醒并跟踪用户回复。最近,一位担心 VB6 漏洞的潜在客户联系了我们。他向我们发送了 CVE 网站的链接,我们发现了两个影响我们软件使用的 ActiveX 控件的漏洞 - CVE-2012-1856 和 CVE-2012-0158。我们非常热衷于确保我们不会让我们的客户受到可能的攻击。
我在 2015 年的 VB6 论坛上发现了一篇论坛帖子,其中一位用户声称与其中一个漏洞有关:(链接:http ://www.vbforums.com/showthread.php?794875-VB6-Vulnerability )
这不是 VB6 程序的问题。
仅当您在 IE 中从恶意站点加载页面并且您已放宽 IE 安全设置以允许页面中嵌入的 ActiveX 控件运行,或使用支持嵌入式 ActiveX 控件的电子邮件客户端打开恶意 HTML 时,才会暴露所描述的问题具有类似宽松安全设置的格式化电子邮件。唯一的另一种可能性是下载和运行您不应该信任的程序。
就这件事而言,整个事情已经有 3 年历史了,并且长期以来一直在受支持的 Windows 版本上进行修补:
Microsoft 安全公告 MS12-027 - 严重 Microsoft 安全公告 MS12-060 - 严重
在我看来,加拿大网络儿童只是在寻找一些媒体。
(链接到 MS12-027:https ://technet.microsoft.com/en-us/library/security/ms12-027.aspx )
(链接到 MS12-060:https ://technet.microsoft.com/en-us/library/security/MS12-060 )
帖子中链接的 Microsoft 安全公告似乎支持了他的说法,即这主要是一个基于 Web 的问题。但是,我仍然有几个关于这个话题的问题,并且很难在网上找到答案:
- 我们的 VB6 程序与 IE 或任何其他 Microsoft 程序没有交互。它从固定的用户电子邮件地址列表中接收大量电子邮件,但它主要监控回复行为和用于识别预期回复的短代码。不处理附件或长字符串,只处理那个短代码。该程序无法打开或处理 .doc、.rtf 或任何其他类似文件类型。所有数据都写入本地数据库或从本地数据库读取。这些 VB6 漏洞会影响我们的程序吗?
- 如果我们要在客户端站点上安装我们的程序,它会在 Windows 系统文件夹中安装并注册旧版本的 MSCOMCTL.OCX(覆盖较新版本)——这是否会使我们客户的所有 Microsoft 应用程序都暴露在漏洞中?如果他们安装了一堆受此漏洞影响的 Microsoft 程序,并且他们现在指向一个易受攻击的 MSCOMCTL.OCX 版本,那么在我看来,这会使他们容易受到攻击。这个假设正确吗?
- Microsoft 安全公告网页上可供下载的补丁旨在为受漏洞影响的所有 Microsoft 程序按程序安装。如果我想更新我的 Visual Basic 6.0 副本以修补我们的 VB6 应用程序中的漏洞,这是否足够,还是我需要为所有受影响的 Microsoft 程序安装更新?他们不都只是指向同一个 MSCOMCTL.OCX 文件吗?为什么甚至需要多次更新?是否只是为每个 MS 程序更新对 Windows 注册表中 OCX 文件的引用?
- 另一位用户在上述论坛上发布了以下内容:
最糟糕的是,微软跌跌撞撞,发布了几次(五次还是六次?)“安全汇总”包的尝试。许多版本都包含“一个”的编程错误,这些错误破坏了其中的几个控件。不要迷路并下载其中一个......你可能会不走运。它们无法卸载,因此您可以在您的机器上破坏 VB6。
这让我对安装建议的更新(在 MS12-027 和 MS12-060 中提到)非常谨慎 – 该用户的担忧是否有效?安全公告中提出的补丁是否存在任何问题?