Bulletin de sécurité Microsoft MS08-070 - Critique

Version imprimable

11/12/2008, 21h03
SfJ5Rpw8

Bulletin de sécurité Microsoft MS08-070 - Critique

Nouveau Bulletin de sécurité en date du 09/12/2008

Bulletin de sécurité Microsoft MS08-070 - Critique

Citation:

Cette mise à jour de sécurité corrige cinq vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement concernant les contrôles ActiveX des fichiers étendus de l'environnement d'exécution Microsoft Visual Basic 6.0. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur parcourait un site Web au contenu spécialement conçu. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.

le correctif pour VB6-SP6. :

Fichiers étendus de l'environnement d'exécution de Microsoft Visual Basic 6.0

La Synthèse des bulletins de sécurité Microsoft décembre 2008

N'hésitez pas à utiliser ce fil de discussion pour laisser vos commentaires
11/12/2008, 23h01
ProgElecT

Je suis sous Vista Edition Familiale Premium Service Pack 1.
Hier, j’ai eu une alerte a ce sujet, j’ai donc uploadé la mise a jour.
Lors de la première réutilisation de VB6, j’ai dût supprimer le fichier manifeste, car il me sortait cette boite d’erreur

Citation:

C:\Program Files\Microsoft Visual Studio\VB98\VB6.EXE
L’application n’a pas pu démarrer car sa configuration côte-à-côte est incorrect. pour plus d’informations, voir le journal d’évènements d’applications.

Je n’est pas réussi a trouver ce journal d’évènements, donc j’ai supprimer le fichier manifeste, et je peu à nouveau redémarré VB6 en utilisateur lambda ou en Super Administrateur.

J’avais fait ce fichier manifeste de façon a pouvoir démarrer VB6 en ligne de commande (chargement d’un projet quelconque suivant une liste) directement en Super Administrateur, sans passer par la boite de dialogue "Autoriser l‘exécution du prog".
Je vais devoir a nouveau rechercher une combine pour y parvenir a nouveau.

Décidément, je n’arrive pas a comprendre grand-chose de la sécurité de Vista, je galère ….. :evilred:
11/12/2008, 23h11
Delbeke

Ben il en aura faullu du temps pour produire un correctif qui ne s'installe pas !

Zoli message d'erreur :

Citation:

Impossible d'accèder à l'emplacement réseau
Tools\Vb\Controls\Controls_Backup.

Ce n'est même pas un répertoire réseau ! et ce répertoire n'a jamais existé sur aucune des machines où j'ai pu installer vb6.

Quelqu'un a t'il réussi à l'installer ? Quid des programmes qui ont été produits depuis plusieurs années ?

Note : Essai réalisé avec Xp pro
12/12/2008, 10h31
DarkVader

C'est le Vicomte de Bragelonne - émettre un correctif de sécurité en 2008 quand le précédent date de juin 2000 !
le suivi de VB6 s'éteignant prochainement, qu'adviendra-t-il de la suite à venir ?
S'agit-il de faire passer un message juste avant l'extinction des feux :
développeur pro, voyez, .net n'est pas concerné ...

Sinon, pour ce que j'en ai lu,
si l'on n'utilise pas les controles Datagrid, Flexgrid, Charts ou que
l'on ne traite pas de fichiers Avi
ou n'utilise pas d'ActiveX dans une page Web,
on n'est pas concerné par le correctif.
Concernant le dernier point, étant donné que Firefox interdit l'utilisation de la plupart des ActiveX,
ils ne sont pas utilisables dans ce contexte...

Delbeke:
Quid des programmes qui ont été produits depuis plusieurs années ?

Comme pour le terrorisme, on sait que le risque existe, mais tant qu'on a pas été directement touché
on se dit avec raison que la probabilité d'être concerné est infime.
A l'inverse, si on y a été confronté, bien que la probabilité d'y être à nouveau exposé est nulle,
on ne peut s'empêcher de penser différemment durant sa vie.
23/12/2008, 23h12
ucfoutu

Bonjour,

http://support.microsoft.com/kb/960128/
"intéressant" !!!
07/01/2009, 22h17
iclic

Bonjour,

Citation:

http://support.microsoft.com/kb/960128/
"intéressant" !!!

Citation:

Delbeke
Ben il en aura faullu du temps pour produire un correctif qui ne s'installe pas !

Citation:

Progelect
Décidément, je n’arrive pas a comprendre grand-chose de la sécurité de Vista, je galère

NB:excuse-moi si je n'arrive pas à écrire correctement ton nom ( trop compliqué)

Citation:

DarkVader

si l'on n'utilise pas les controles Datagrid, Flexgrid, Charts ou que
l'on ne traite pas de fichiers Avi
ou n'utilise pas d'ActiveX dans une page Web,
on n'est pas concerné par le correctif.

Moi non plus ,je n'utilise pas tout celà, alors je regrette Bbil,
j'ai un VB6 qui fonctionne bien et je me méfie comme de la peste de ces
correctifs qui risquent de m'empoisonner par la suite .
En voyant en plus le texte édifiant de microsoft sur le site http://support.microsoft.com/kb/960128/.

Merci,Ucfoutu, de m'avoir ouvert les yeux ,j'en conclus que
Microsoft s'en lave les mains comme Ponce-Plilate,des erreurs pouvant survenir avec ce correctif.

Salut à tous
16/01/2009, 11h55
eric74

Regression Majeure Patch Microsoft

Bonjour a tous,

Suite a une mise a jour de securité de microsoft, de nombreuses
applications ecrites en VB6 pourraient ne plus fonctionner du tout
(ou au mieux en mode super dégradé). Je viens d'avoir le soucis
chez le client pour lequel je travaille actuellement.
La mise a jour en question est:

http://support.microsoft.com/kb/932349/en-us

Le probleme que j'ai personnelement concerne le composant mschrt20.ocx
(classes MSCharts), qui dans sa version 6.1.98.12 fait crasher
les applications alors que la vieille version 6.0.88.4 du 14 mars 2000
fonctionne tres bien). Apparemment la plupart des applis VB6 du client
chez qui je suis en mission on des soucis (et evidemment un roll back
global de la mise a jour semble impossible, meme si on peut reanmoins
re-enregistrer l'ancienne version de mschrt20.ocx en tous cas).

Quelqu'un sait il si Microsoft a prevu de corriger prochainement cette
regression? Je n'ai rien trouvé sur internet jusqu'ici, et comme
MS ne supporte plus VB6 (au sens propre ...;-) ) ...

Merci d'avance,

A+

Eric

Un petit mot pour vous confirmer le probleme. Pour le reproduire, mettre
un MSChart et un command button dans une form VB avec le code ci-dessous. L'application crashe avant d'afficher le message quand on clique
sur le bouton. Le crash se produit sur la ligne:
serX.DataPoints.Item(-1).DataPointLabel.ValueFormat = "0" & "," & "0%"
et si on commente cette ligne OU la precedente l'application fonctionne.

Pas de pb avec un ocx plus ancien.
Config: XP Pro 2002 Sp2, VB6 runtime SP6.

Eric
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 Private Sub Command1_Click() InitializeMSChartAA Me.MSChart MsgBox "Test done!" End Sub Public Sub InitializeMSChartAA(MSChart As MSChart) Dim serX As Object On Error GoTo EH Set serX = MSChart.Plot.SeriesCollection.Item(1) serX.DataPoints.Item(-1).DataPointLabel.LocationType = VtChLabelLocationTypeAbovePoint serX.DataPoints.Item(-1).DataPointLabel.ValueFormat = "0" & "," & "0%" Set serX = Nothing GetOut: On Error Resume Next Exit Sub EH: MsgBox Err.Description End Sub