Trend Micro odhaluje neopravenou zranitelnost Microsoft Jet

Společnost Trend Micro odhalila novou zranitelnost Microsoft Jet, která stále není opravena. Tato chyba zabezpečení má dopad na všechny podporované edice operačního systému Windows a serveru.

Iniciativa Zero Day společnosti Trend Micro funguje tak, že identifikuje chyby a nahlásí je dodavatelům softwaru, kteří mají časový rámec na jejich odstranění. Časový rámec je obvykle nastaven na 120 dní před zveřejněním zranitelnosti. Skupina nahlásila zranitelnost Microsoftu 8. května a dala jim 120 dní na to, aby ji opravili, poté byla zranitelnost zveřejněna. Skupina také sdílela Proof of Concept (PoC) na GitHubu s podrobnostmi týkajícími se zranitelnosti.

Chyba zabezpečení je chyba zápisu Out-of-Bound, kterou lze spustit otevřením zdroje Jet prostřednictvím komponenty Microsoft známé jako Object Linking and Embedding Database (OLEDB).

Specifická chyba existuje ve správě indexů v databázovém stroji Jet. Vytvořená data v databázovém souboru mohou spustit zápis za konec přidělené vyrovnávací paměti.

– Trend Micro

Společnost Microsoft tuto chybu zabezpečení přijala a očekává se, že v říjnu vydá opravu. Mezitím 0patch potvrdil mikropatch pro uživatele Windows 7.

7 hodin po @thezdi zveřejnil podrobnosti o této neopravené vzdáleně zneužitelné zranitelnosti v Jet Database Engine, máme kandidáta na mikropatch pro Windows 7. Více o této zranitelnosti a naší mikropatch již brzy. https://t.co/cSuIf5nubp

— 0patch (@0patch) Září 20, 2018

Trend Micro zatím doporučuje neotevírat žádné přílohy z nedůvěryhodných zdrojů, které by mohly obsahovat škodlivý kód. Bezpečnostní výzkum Lucas Leong byl připsán za objev této zranitelnosti.

Ulice: ZDNet