MS12-027 MSCOMCTL.OCX

何やら騒がしい様子。

先週公開されたMS12-027に関連する既知の問題でしょう。
解決については、
[MS12-027] MSCOMCTL.OCX の脆弱性により、リモートでコードが実行される (2012 年 4 月 10 日)
もしくは、
Top Issue – after MS12-027 affects VBA in Office
などを参照ということかな。
x64Officeなのでさほど気にしてなかったけど、SQL Serverにも影響があって、Office2007として、先日更新されていた。

一部を除いて、Office 2003 Web Componentが更新対象となっていて、Office2003SP3/Office2007SP2SP3/Office2010RTMSP1(x86)がインストールされているとまず間違いなく更新対象となるはず。延長サポートが終了しているバージョンについては、更新プログラムは公開されないので注意しなければならない。

SQL Server 2008 R2あたりだと、Reporting Services/Analsys services/Integrated Services など、機能が追加している場合、対象コンポーネント（同じくOffice 2003 Web Component）がインストールされているはず。SQL Server 2012ではこのコンポーネントは使用されていない様子。

サポート期間内のMSプロダクトならMicorosoft Updateなりで検知できるからよいのだけど、VB6ランタイムについては検知されないのではないかと思う。対象クライアント数としては少ない可能性が高いのだけれども、VB6アプリケーションに付帯し配布されるランタイムについては開発者がユーザに対しサポートせにゃならんはず。 緊急度が高いと思うし、周辺に対して気を付けておかないとならないかなと思った。この場合、とれる手段としてはアンチウィルスなどで対策に加えてKill bitも設定しておくべきなんだろう。いずれKill Bitの更新に含まれるのかな。