发布日期：2012-08-14
更新日期：2012-08-16

受影响系统：

Microsoft Office 2010
Microsoft Office 2003
Microsoft Office      Office 2007
Microsoft SQL Server 2008
Microsoft SQL Server 2005
Microsoft SQL Server 2000
Microsoft Commerce Server 2009
Microsoft Commerce Server 2007
Microsoft Commerce Server 2002
Microsoft Visual FoxPro 9.x
Microsoft Visual FoxPro 8.x
Microsoft Host Integration Server 2004

描述：

---

BUGTRAQ  ID: 54948
CVE(CAN) ID: CVE-2012-1856

Microsoft Office是微软公司开发的一套基于Windows操作系统的办公软件套装。常用组件有Word、Excel、Access、Powerpoint、FrontPage等。

Microsoft Office 2003 SP3、 Office 2003 Web Components SP3、 Office 2007 SP2、 SP3、 Office 2010 SP1、 SQL Server 2000 SP4、 SQL Server 2005 SP4、 SQL Server 2008 SP2、 SP3、 R2、 R2 SP1、 R2 SP2、 Commerce Server 2002 SP4、 Commerce Server 2007 SP2、 Commerce Server 2009 Gold、 R2、 Host Integration Server 2004 SP1、 Visual FoxPro 8.0 SP1、 Visual FoxPro 9.0 SP2、 Visual Basic 6.0 Runtime中的MSCOMCTL.OCX内通用控件TabStrip ActiveX控件在实现上存在错误，通过特制的文档和Web页触发系统状态破坏，可被利用破坏内存，导致执行任意代码。

<*来源：Microsoft
  
  链接：http://secunia.com/advisories/50247/
        http://www.microsoft.com/technet/security/bulletin/MS12-060.asp
*>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 不要打开可疑源的Microsoft Office和WordPad文档
* 禁止在IE中运行有漏洞ActiveX控件。
* 禁止在Office 2007和Office 2010中运行ActiveX控件。
* 将互联网和本地内联网安全区域设置为“高”以阻止这些区域中的ActiveX控件和脚本。
* 配置IE运行活动脚本之前提示或禁用互联网和本地内联网安全区域中的活动脚本。
* 使用Microsoft Office File Block策略阻止打开可疑源或位置的Office 2003或更早版本的文档。

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS12-060）以及相应补丁:

MS12-060：Vulnerability in Windows Common Controls Could Allow Remote Code Execution  (2720573)

链接：http://www.microsoft.com/technet/security/bulletin/MS12-060.asp

浏览次数：4498
严重程度：0（网友投票）