Trend Micro gibt eine ungepatchte Sicherheitslücke in Microsoft Jet bekannt

Trend Micro hat eine neue Sicherheitslücke in Microsoft Jet offengelegt, die noch nicht gepatcht ist. Die Schwachstelle betrifft alle unterstützten Windows-Betriebssysteme und Server-Editionen.

Die Zero-Day-Initiative von Trend Micro identifiziert Fehler und meldet sie den Softwareanbietern mit einem Zeitrahmen zur Behebung. Der Zeitrahmen wird normalerweise auf 120 Tage festgelegt, bevor die Schwachstelle öffentlich bekannt wird. Die Gruppe meldete Microsoft die Schwachstelle am 8. Mai und gab ihnen 120 Tage Zeit, um sie zu beheben, woraufhin die Schwachstelle veröffentlicht wurde. Die Gruppe teilte auch die Proof of Concept (PoC) auf GitHub mit den Details im Zusammenhang mit der Schwachstelle.

Die Schwachstelle ist ein Out-of-Bound-Schreibfehler, der durch das Öffnen einer Jet-Quelle über eine Microsoft-Komponente namens Object Linking and Embedding Database (OLEDB) ausgelöst werden kann.

Der spezifische Fehler besteht in der Verwaltung von Indizes in der Jet-Datenbank-Engine. Präparierte Daten in einer Datenbankdatei können einen Schreibvorgang über das Ende eines zugewiesenen Puffers hinaus auslösen.

- Trend Micro

Microsoft hat die Schwachstelle akzeptiert und wird voraussichtlich im Oktober einen Fix bereitstellen. Inzwischen hat 0patch einen Mikropatch für Windows 7-Benutzer bestätigt.

7 Stunden danach @thezdi Details zu dieser ungepatchten, aus der Ferne ausnutzbaren Schwachstelle in der Jet Database Engine veröffentlicht hat, haben wir einen Micropatch-Kandidaten für Windows 7. Mehr zu dieser Schwachstelle und unserem Micropatch in Kürze. https://t.co/cSuIf5nubp

— 0patch (@0patch) 20. September 2018

Trend Micro empfiehlt vorerst, keine Anhänge aus nicht vertrauenswürdigen Quellen zu öffnen, die einen bösartigen Code enthalten könnten. Security Research Lucas Leong wird die Entdeckung der Schwachstelle zugeschrieben.

Via: ZDNet