阿里云漏洞库

Microsoft SQL Server 2000/2005/2008/2008 R2 Common Controls TabStrip ActiveX MSCOMCTL.OCX 代码注入漏洞

CVE编号

CVE-2012-1856

利用情况

暂无

补丁情况

N/A

披露时间

2012-08-15

漏洞描述

Microsoft Windows是一款流行的操作系统。Microsoft Windows多个产品使用的MSCOMCTL.OCX中的通用控件TabStrip ActiveX控件存在漏洞，允许攻击者构建特制的文档或WEB页面，诱使用户解析，可破坏内存，可以应用程序上下文执行任意代码。目前此漏洞已经在网络上积极利用。

解决建议

用户可参考如下供应商提供的安全公告获得补丁信息：http://technet.microsoft.com/en-us/security/bulletin/ms12-060

参考链接
http://www.securityfocus.com/bid/54948
http://www.us-cert.gov/cas/techalerts/TA12-227A.html
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2012/ms12-060
https://oval.cisecurity.org/repository/search/definition/oval%3Aorg.mitre.ova...

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	microsoft	commerce_server	2002	-
	运行在以下环境
	应用	microsoft	commerce_server	2007	-
	运行在以下环境
	应用	microsoft	commerce_server	2009	-
	运行在以下环境
	应用	microsoft	host_integration_server	2004	-
	运行在以下环境
	应用	microsoft	office	2003	-
	运行在以下环境
	应用	microsoft	office	2007	-
	运行在以下环境
	应用	microsoft	office	2010	-
	运行在以下环境
	应用	microsoft	office_web_components	2003	-
	运行在以下环境
	应用	microsoft	sql_server	2000	-
	运行在以下环境
	应用	microsoft	sql_server	2005	-
	运行在以下环境
	应用	microsoft	sql_server	2008	-
	运行在以下环境
	应用	microsoft	visual_basic	6.0	-
	运行在以下环境
	应用	microsoft	visual_foxpro	8.0	-
	运行在以下环境
	应用	microsoft	visual_foxpro	9.0	-

攻击路径

网络
攻击复杂度

N/A
权限要求

无
影响范围

N/A
用户交互

需要
可用性

完全地
保密性

完全地
完整性

完全地

CWE-ID	漏洞类型
CWE-94	对生成代码的控制不恰当（代码注入）

Microsoft SQL Server 2000/2005/2008/2008 R2 Common Controls TabStrip ActiveX MSCOMCTL.OCX 代码注入漏洞

漏洞描述

解决建议

参考链接

受影响软件情况