Trend Micro onthult een niet-gepatchte kwetsbaarheid in Microsoft Jet

Trend Micro heeft een nieuwe kwetsbaarheid in Microsoft Jet onthuld die nog steeds niet is gepatcht. Het beveiligingslek treft alle ondersteunde Windows OS- en Server-edities.

Het Zero Day-initiatief van Trend Micro werkt door bugs te identificeren en deze te rapporteren aan de softwareleveranciers, met een tijdschema om het te repareren. Het tijdsbestek is meestal ingesteld op 120 dagen voordat het beveiligingslek openbaar wordt gemaakt. De groep meldde het beveiligingslek op 8 mei aan Microsoft en gaf hen 120 dagen om het te repareren, waarna het beveiligingslek openbaar werd gemaakt. De groep deelde ook de Proof of Concept (PoC) op GitHub met de details met betrekking tot de kwetsbaarheid.

Het beveiligingslek is een Out-of-Bound-schrijffout die kan worden geactiveerd door een Jet-bron te openen via een Microsoft-component die bekend staat als Object Linking and Embedding Database (OLEDB).

De specifieke fout zit in het beheer van indexen in de Jet-database-engine. Vervaardigde gegevens in een databasebestand kunnen ertoe leiden dat er na het einde van een toegewezen buffer wordt geschreven.

– TrendMicro

Microsoft heeft het beveiligingslek geaccepteerd en zal naar verwachting in oktober een fix uitrollen. Ondertussen heeft 0patch een micropatch voor Windows 7-gebruikers bevestigd.

7 uur daarna @thezdi details heeft gepubliceerd over deze niet-gepatchte kwetsbaarheid die op afstand kan worden misbruikt in Jet Database Engine, hebben we een micropatch-kandidaat op Windows 7. Binnenkort meer over deze kwetsbaarheid en onze micropatch. https://t.co/cSuIf5nubp

— 0patch (@0patch) 20 september 2018

Voor nu raadt Trend Micro aan om geen bijlagen te openen van niet-vertrouwde bronnen die mogelijk schadelijke code bevatten. Beveiligingsonderzoek Lucas Leong is gecrediteerd voor de ontdekking van de kwetsbaarheid.

Via: ZDNet