Trend Micro révèle une vulnérabilité Microsoft Jet non corrigée

Trend Micro a révélé une nouvelle vulnérabilité Microsoft Jet qui n'a toujours pas été corrigée. La vulnérabilité affecte toutes les éditions Windows OS et Server prises en charge.

L'initiative Zero Day de Trend Micro consiste à identifier les bogues et à les signaler aux éditeurs de logiciels en leur indiquant un délai pour les corriger. Le délai est généralement fixé à 120 jours avant que la vulnérabilité ne soit divulguée publiquement. Le groupe a signalé la vulnérabilité à Microsoft le 8 mai et leur a donné 120 jours pour la corriger, après quoi la vulnérabilité a été rendue publique. Le groupe a également partagé Preuve de concept (PoC) sur GitHub avec les détails liés à la vulnérabilité.

La vulnérabilité est une faille d'écriture hors limite qui peut être déclenchée en ouvrant une source Jet via un composant Microsoft appelé Object Linking and Embedding Database (OLEDB).

La faille spécifique existe dans la gestion des index dans le moteur de base de données Jet. Les données construites dans un fichier de base de données peuvent déclencher une écriture après la fin d'un tampon alloué.

– Tendance Micro

Microsoft a accepté la vulnérabilité et devrait déployer un correctif en octobre. Pendant ce temps, 0patch a confirmé un micropatch pour les utilisateurs de Windows 7.

7 heures après @thezdi a publié des détails sur cette vulnérabilité exploitable à distance non corrigée dans Jet Database Engine, nous avons un candidat micropatch sur Windows 7. Plus d'informations sur cette vulnérabilité et notre micropatch bientôt. https://t.co/cSuIf5nubp

- 0patch (@0patch) 20 septembre 2018

Pour l'instant, Trend Micro recommande de ne pas ouvrir de pièces jointes provenant de sources non fiables susceptibles de contenir un code malveillant. Security Research Lucas Leong a été crédité de la découverte de la vulnérabilité.

Via: ZDNet