Developpez.com - Visual Basic 6

Le Club des Développeurs et IT Pro

Téléchargez. : Mise à jour critique de sécurité pour Visual Basic 6 SP6 : MS08-070

Le 2008-12-11 21:03:47, par SfJ5Rpw8, Expert éminent sénior
Nouveau Bulletin de sécurité en date du 09/12/2008

Bulletin de sécurité Microsoft MS08-070 - Critique

Cette mise à jour de sécurité corrige cinq vulnérabilités signalées confidentiellement et une vulnérabilité révélée publiquement concernant les contrôles ActiveX des fichiers étendus de l'environnement d'exécution Microsoft Visual Basic 6.0. Ces vulnérabilités pourraient permettre l'exécution de code à distance si un utilisateur parcourait un site Web au contenu spécialement conçu. Les utilisateurs dont les comptes sont configurés avec des privilèges moins élevés sur le système subiraient moins d'impact que ceux qui possèdent des privilèges d'administrateur.
le correctif pour VB6-SP6. :

Fichiers étendus de l'environnement d'exécution de Microsoft Visual Basic 6.0

La Synthèse des bulletins de sécurité Microsoft décembre 2008


N'hésitez pas à utiliser ce fil de discussion pour laisser vos commentaires
  Discussion forum
7 commentaires
  • ProgElecT
    Modérateur
    Je suis sous Vista Edition Familiale Premium Service Pack 1.
    Hier, j’ai eu une alerte a ce sujet, j’ai donc uploadé la mise a jour.
    Lors de la première réutilisation de VB6, j’ai dût supprimer le fichier manifeste, car il me sortait cette boite d’erreur
    C:\Program Files\Microsoft Visual Studio\VB98\VB6.EXE
    L’application n’a pas pu démarrer car sa configuration côte-à-côte est incorrect. pour plus d’informations, voir le journal d’évènements d’applications.
    Je n’est pas réussi a trouver ce journal d’évènements, donc j’ai supprimer le fichier manifeste, et je peu à nouveau redémarré VB6 en utilisateur lambda ou en Super Administrateur.

    J’avais fait ce fichier manifeste de façon a pouvoir démarrer VB6 en ligne de commande (chargement d’un projet quelconque suivant une liste) directement en Super Administrateur, sans passer par la boite de dialogue "Autoriser l‘exécution du prog".
    Je vais devoir a nouveau rechercher une combine pour y parvenir a nouveau.

    Décidément, je n’arrive pas a comprendre grand-chose de la sécurité de Vista, je galère …..
    le 11/12/2008 à 23:01
  • Delbeke
    Membre expert
    Ben il en aura faullu du temps pour produire un correctif qui ne s'installe pas !

    Zoli message d'erreur :

    Impossible d'accèder à l'emplacement réseau
    Tools\Vb\Controls\Controls_Backup.
    Ce n'est même pas un répertoire réseau ! et ce répertoire n'a jamais existé sur aucune des machines où j'ai pu installer vb6.

    Quelqu'un a t'il réussi à l'installer ? Quid des programmes qui ont été produits depuis plusieurs années ?

    Note : Essai réalisé avec Xp pro
    le 11/12/2008 à 23:11
  • DarkVader
    Rédacteur
    C'est le Vicomte de Bragelonne - émettre un correctif de sécurité en 2008 quand le précédent date de juin 2000 !
    le suivi de VB6 s'éteignant prochainement, qu'adviendra-t-il de la suite à venir ?
    S'agit-il de faire passer un message juste avant l'extinction des feux :
    développeur pro, voyez, .net n'est pas concerné ...

    Sinon, pour ce que j'en ai lu,
    si l'on n'utilise pas les controles Datagrid, Flexgrid, Charts ou que
    l'on ne traite pas de fichiers Avi
    ou n'utilise pas d'ActiveX dans une page Web,
    on n'est pas concerné par le correctif.
    Concernant le dernier point, étant donné que Firefox interdit l'utilisation de la plupart des ActiveX,
    ils ne sont pas utilisables dans ce contexte...

    Delbeke:
    Quid des programmes qui ont été produits depuis plusieurs années ?

    Comme pour le terrorisme, on sait que le risque existe, mais tant qu'on a pas été directement touché
    on se dit avec raison que la probabilité d'être concerné est infime.
    A l'inverse, si on y a été confronté, bien que la probabilité d'y être à nouveau exposé est nulle,
    on ne peut s'empêcher de penser différemment durant sa vie.
    le 12/12/2008 à 10:31
  • ucfoutu
    Inactif
    Bonjour,

    http://support.microsoft.com/kb/960128/
    "intéressant" !!!
    le 23/12/2008 à 23:12
  • iclic
    Membre éclairé
    Bonjour,


    http://support.microsoft.com/kb/960128/
    "intéressant" !!!

    Delbeke
    Ben il en aura faullu du temps pour produire un correctif qui ne s'installe pas !


    Progelect
    Décidément, je n’arrive pas a comprendre grand-chose de la sécurité de Vista, je galère
    NB:excuse-moi si je n'arrive pas à écrire correctement ton nom ( trop compliqué)


    DarkVader

    si l'on n'utilise pas les controles Datagrid, Flexgrid, Charts ou que
    l'on ne traite pas de fichiers Avi
    ou n'utilise pas d'ActiveX dans une page Web,
    on n'est pas concerné par le correctif.

    Moi non plus ,je n'utilise pas tout celà, alors je regrette Bbil,
    j'ai un VB6 qui fonctionne bien et je me méfie comme de la peste de ces
    correctifs qui risquent de m'empoisonner par la suite .
    En voyant en plus le texte édifiant de microsoft sur le site http://support.microsoft.com/kb/960128/.

    Merci,Ucfoutu, de m'avoir ouvert les yeux ,j'en conclus que
    Microsoft s'en lave les mains comme Ponce-Plilate,des erreurs pouvant survenir avec ce correctif.

    Salut à tous
    le 07/01/2009 à 22:17
  • eric74
    Candidat au Club
    Bonjour a tous,

    Suite a une mise a jour de securité de microsoft, de nombreuses
    applications ecrites en VB6 pourraient ne plus fonctionner du tout
    (ou au mieux en mode super dégradé). Je viens d'avoir le soucis
    chez le client pour lequel je travaille actuellement.
    La mise a jour en question est:

    http://support.microsoft.com/kb/932349/en-us

    Le probleme que j'ai personnelement concerne le composant mschrt20.ocx
    (classes MSCharts), qui dans sa version 6.1.98.12 fait crasher
    les applications alors que la vieille version 6.0.88.4 du 14 mars 2000
    fonctionne tres bien). Apparemment la plupart des applis VB6 du client
    chez qui je suis en mission on des soucis (et evidemment un roll back
    global de la mise a jour semble impossible, meme si on peut reanmoins
    re-enregistrer l'ancienne version de mschrt20.ocx en tous cas).

    Quelqu'un sait il si Microsoft a prevu de corriger prochainement cette
    regression? Je n'ai rien trouvé sur internet jusqu'ici, et comme
    MS ne supporte plus VB6 (au sens propre ...;-) ) ...

    Merci d'avance,

    A+

    Eric
    le 16/01/2009 à 11:55
  • eric74
    Candidat au Club
    Un petit mot pour vous confirmer le probleme. Pour le reproduire, mettre
    un MSChart et un command button dans une form VB avec le code ci-dessous. L'application crashe avant d'afficher le message quand on clique
    sur le bouton. Le crash se produit sur la ligne:
    serX.DataPoints.Item(-1).DataPointLabel.ValueFormat = "0" & "," & "0%"
    et si on commente cette ligne OU la precedente l'application fonctionne.

    Pas de pb avec un ocx plus ancien.
    Config: XP Pro 2002 Sp2, VB6 runtime SP6.

    Eric

    Code : 
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    Private Sub Command1_Click()
InitializeMSChartAA Me.MSChart
MsgBox "Test done!"
End Sub

Public Sub InitializeMSChartAA(MSChart As MSChart)
Dim serX As Object
On Error GoTo EH

Set serX = MSChart.Plot.SeriesCollection.Item(1)
serX.DataPoints.Item(-1).DataPointLabel.LocationType = VtChLabelLocationTypeAbovePoint 

serX.DataPoints.Item(-1).DataPointLabel.ValueFormat = "0" & "," & "0%"
Set serX = Nothing

GetOut:
On Error Resume Next
Exit Sub

EH:
MsgBox Err.Description
End Sub
    le 21/01/2009 à 9:53
  Poster une réponse