MS12-060：解决MSCOMCTL.OCX TabStrip控件中的漏洞

今天，我们发布了MS12-060，旨在解决MSCOMCTL.OCX中一个潜在的远程代码执行漏洞。MSCOMCTL.OCX是多个Microsoft产品中包含的二进制文件，用于提供一组常见的ActiveX控件。

针对CVE-2012-1856的有限、定向攻击

MS12-060被列为本月高优先级更新之一，原因有二：我们了解到有非常有限、定向的攻击正在利用CVE-2012-1856，并且我们预计在未来几天内会看到新的攻击利用此漏洞。我们在一个通过电子邮件发送的恶意RTF文件中发现了此漏洞，该文件在通过WordPad或Microsoft Word打开时尝试运行漏洞利用程序。部署MS12-060将解决此漏洞并防范攻击。因此，我们再次强调尽快应用此更新的紧迫性。

比较MS12-060与MS12-027（之前的MSCOMCTL公告）

MS12-060解决的是与之前的MSCOMCTL安全更新MS12-027不同的漏洞。之前的漏洞（CVE-2012-0158）是一个基于堆栈的缓冲区溢出，影响TreeView和ListView控件。而MS12-060修复的是TabStrip控件代码中存在错误内存分配导致的不同问题（CVE-2012-1856）。在这两种情况下，代码执行都是可能的，但利用方法非常不同。我们预计会看到利用CVE-2012-1856的攻击通过Office文档传递，且主要是RTF文件，这是因为RTF格式提供的防病毒签名规避选项，我们之前在观察CVE-2012-0158 MSCOMCTL漏洞时已经注意到。

Office针对嵌入式控件的缓解措施

Microsoft Office包含各种默认启用的缓解措施和一系列可选安全功能，这些功能在MS12-060安全更新之上提供额外的保护层，防范带有嵌入式ActiveX控件（如MSCOMCTL）或其他潜在有害活动内容的可疑文档。所有这些缓解措施和额外保护设置已在之前的博客中详细涵盖和解释，博客地址为http://blogs.technet.com/b/srd/archive/2012/04/10/ms12-027-enhanced-protections-regarding-activex-controls-in-microsoft-office-documents.aspx。之前博客中讨论的所有保护设置，如Office kill bit和Protected View，都是有效的防御措施，可以加固Office以防范类似攻击。CVE-2012-1856的易受攻击CLSID是1EFB6596-857C-11D1-B16A-00C0F0283628。

另一个我们发现对基于RTF的攻击有用的额外保护层是从Office Trust Center面板默认启用所有RTF文件的Protected View功能。这是一个简单的设置，可以防止RTF文档中嵌入式控件和活动内容的自动加载。Trust Center面板提供两种可能的配置：在启用或禁用编辑功能的情况下在Protected View中打开RTF文件。在不启用编辑的情况下在Protected View中打开文档将阻止基于嵌入式控件的攻击，同时仍允许阅读/查看RTF文档。这是一个非常好的防范带有嵌入式控件的恶意RTF文件的保障措施。

部署EMET以降低风险

最后，我们注意到Enhanced Mitigation Experience Toolkit（EMET）能够缓解或中和此漏洞的利用尝试，因此我们鼓励希望在MS12-060安全更新之上添加额外保护层的客户考虑部署EMET，至少保护客户端机器上的浏览器程序和Office应用程序。EMET 3.0可以从http://www.microsoft.com/en-us/download/details.aspx?id=29851下载。

致谢

感谢MSRC Engineering的Ali Rahbar和Ali Pezeshk在调查此漏洞方面的帮助。

• Elia Florio, MSRC Engineering