Firma Trend Micro ujawnia niezałataną lukę w zabezpieczeniach aparatu Microsoft Jet
2 minuta. czytać
Opublikowany
Udostępnij ten artykuł
Ulepsz ten przewodnik
Przeczytaj naszą stronę z informacjami, aby dowiedzieć się, jak możesz pomóc MSPoweruser w utrzymaniu zespołu redakcyjnego Czytaj więcej
Firma Trend Micro ujawniła nową lukę w zabezpieczeniach Microsoft Jet, która wciąż nie została naprawiona. Luka dotyczy wszystkich obsługiwanych wersji systemu operacyjnego Windows i Server.
Inicjatywa Zero Day firmy Trend Micro polega na identyfikowaniu błędów i zgłaszaniu ich producentom oprogramowania, w ramach których należy je naprawić. Ramy czasowe są zwykle ustalane na 120 dni przed publicznym ujawnieniem luki. Grupa zgłosiła usterkę firmie Microsoft 8 maja i dała im 120 dni na jej naprawę, po czym usterka została upubliczniona. Grupa podzieliła się również Proof of Concept (PoC) na GitHub ze szczegółami związanymi z podatnością.
Luka ta jest błędem zapisu Out-of-Bound, który może zostać wywołany przez otwarcie źródła Jet za pośrednictwem komponentu Microsoft znanego jako baza danych łączenia i osadzania obiektów (OLEDB).
Specyficzna usterka istnieje w zarządzaniu indeksami w silniku bazy danych Jet. Stworzone dane w pliku bazy danych mogą wywołać zapis po zakończeniu przydzielonego bufora.
— Trend Micro
Microsoft zaakceptował tę lukę i oczekuje się, że w październiku wprowadzi poprawkę. Tymczasem 0patch potwierdził mikropatch dla użytkowników Windows 7.
7 godziny później @thezdi opublikowała szczegóły na temat tej niezałatanej, możliwej do zdalnego wykorzystania luki w Jet Database Engine, mamy kandydata na mikropoprawkę w systemie Windows 7. Więcej o tej luce i nasza mikropoprawka wkrótce. https://t.co/cSuIf5nubp
— 0 łatka (@ 0 łatka) 20 września 2018 r.
Na razie firma Trend Micro zaleca, aby nie otwierać żadnych załączników z niezaufanych źródeł, które mogą zawierać złośliwy kod. Security Research Lucas Leong został uznany za odkrycie luki.
Via: ZDNet
