Trend Micro rivela una vulnerabilità senza patch di Microsoft Jet

Trend Micro ha rivelato una nuova vulnerabilità di Microsoft Jet che non è ancora stata risolta. La vulnerabilità colpisce tutte le edizioni del sistema operativo Windows e del server supportate.

L'iniziativa Zero Day di Trend Micro funziona identificando i bug e segnalandoli ai fornitori di software che stabiliscono un periodo di tempo per risolverli. L'intervallo di tempo è solitamente fissato a 120 giorni prima che la vulnerabilità venga divulgata pubblicamente. Il gruppo ha segnalato la vulnerabilità a Microsoft l'8 maggio e ha concesso loro 120 giorni per risolverla, dopodiché la vulnerabilità è stata resa pubblica. Il gruppo ha anche condiviso il Prova di concetto (PoC) su GitHub con i dettagli relativi alla vulnerabilità.

La vulnerabilità è un difetto di scrittura Out-of-Bound che può essere attivato aprendo un'origine Jet tramite un componente Microsoft noto come Object Linking and Embedding Database (OLEDB).

Il difetto specifico esiste nella gestione degli indici nel motore di database Jet. I dati predisposti in un file di database possono attivare una scrittura oltre la fine di un buffer allocato.

– TrendMicro

Microsoft ha accettato la vulnerabilità e prevede di implementare una correzione nel mese di ottobre. Nel frattempo, 0patch ha confermato una micropatch per gli utenti di Windows 7.

7 ore dopo @thezdi ha pubblicato dettagli su questa vulnerabilità sfruttabile da remoto senza patch nel Jet Database Engine, abbiamo un candidato micropatch su Windows 7. Presto ulteriori informazioni su questa vulnerabilità e sulla nostra micropatch. https://t.co/cSuIf5nubp

— 0 patch (@0 patch) 20 settembre 2018

Per ora Trend Micro consiglia di non aprire allegati provenienti da fonti non attendibili che potrebbero contenere un codice dannoso. Lucas Leong, ricercatore sulla sicurezza, è stato accreditato della scoperta della vulnerabilità.

Via: ZDNet