我的公司向客户分发一个提醒跟踪VB6程序,发送有关截止日期的电子邮件提醒并跟踪用户回复 . 最近,我们被一位关心VB6漏洞的潜在客户接洽 . 他向我们发送了一个指向CVE网站的链接,我们发现了两个影响我们软件使用的ActiveX控件的漏洞 - CVE-2012-1856和CVE-2012-0158 . 我们非常热衷于确保我们不会让客户暴露于可能的漏洞之中 .
我在2015年的VB6论坛上发现了一个论坛帖子,其中一位用户声称以下与其中一个漏洞相关:(链接:http://www.vbforums.com/showthread.php?794875-VB6-Vulnerability)
这不是VB6程序的问题 . 所描述的问题仅在您从恶意网站加载IE页面时暴露,并且您放宽了IE安全设置,足以允许嵌入页面中的ActiveX控件运行,或使用支持嵌入式ActiveX控件的电子邮件客户端打开恶意HTML格式化的电子邮件具有类似的宽松安全设置 . 唯一的另一种可能性是下载和运行您不应该信任的程序 . 就此而言,整个事情已有3年历史,并且长期以来一直在Windows的受支持版本上进行修补:Microsoft安全公告MS12-027 - 关键Microsoft安全公告MS12-060 - 严重对我来说听起来像加拿大网络儿童只是看着对于一些媒体 .
(链接到MS12-027:https://technet.microsoft.com/en-us/library/security/ms12-027.aspx)
(链接到MS12-060:https://technet.microsoft.com/en-us/library/security/MS12-060)
该帖子中链接的Microsoft安全公告似乎支持他声称这主要是基于网络的问题 . 但是,我仍然有几个关于这个主题的问题,并且很难在线找到答案:
-
我们的VB6程序没有与IE或任何其他Microsoft程序的交互 . 它从固定的用户电子邮件地址列表中接收大量电子邮件,但主要是监控回复行为以及用于识别预期回复的简短代码 . 没有附件或长字符串被处理,只有那么短的代码 . 该程序无法打开或处理.doc,.rtf或任何其他类似的文件类型 . 所有数据都写入本地数据库或从本地数据库读取 . 这些VB6漏洞是否存在影响我们计划的危险?
-
如果我们要在客户端站点上安装我们的程序,并在Windows系统文件文件夹中安装并注册旧版本的MSCOMCTL.OCX(覆盖较新的版本) - 这是否可以打开我们客户端的所有Microsoft应用程序到漏洞?如果他们安装了一堆受此漏洞影响的Microsoft程序,并且他们现在指向易受攻击的MSCOMCTL.OCX版本,那么在我看来,这样会使他们容易受到攻击 . 这个假设是否正确?
-
可以在Microsoft安全公告网页上下载的修补程序是针对受此漏洞影响的所有Microsoft程序按程序安装的 . 如果我想更新我的Visual Basic 6.0副本以修补我们的VB6应用程序中的漏洞,这是否足够或我是否需要为所有受影响的Microsoft程序安装更新?它们不只是指向同一个MSCOMCTL.OCX文件吗?为什么甚至需要多次更新?是否只是为每个MS程序更新Windows注册表中对OCX文件的引用?
-
另一位用户在上述论坛上发布了以下内容:
最糟糕的是,微软跌跌撞撞地跌跌撞撞,在“安全累积”套餐中发布了几次(五次或六次)尝试 . 许多版本包含“off by one”编程错误,这些错误打破了包含的几个控件 . 不要绊倒并下载其中一个......你可能会不走运 . 它们无法卸载,因此您可以在计算机上断开VB6 .
这让我非常警惕安装建议的更新(在MS12-027和MS12-060中提到) - 有谁知道这个用户的顾虑是否有效?有没有人对安全公告中提出的补丁有疑问?
对我在这个问题上缺乏了解而道歉 . 任何有关这方面的信息都将非常感激 . 如果需要进一步的详细信息,请告诉我 .