Trend Micro divulga vulnerabilidade não corrigida do Microsoft Jet

A Trend Micro divulgou uma nova vulnerabilidade do Microsoft Jet que ainda não foi corrigida. A vulnerabilidade afeta todas as edições suportadas do sistema operacional Windows e do servidor.

A iniciativa Zero Day da Trend Micro funciona identificando bugs e relatando-os aos fornecedores de software com um prazo para corrigi-los. O prazo geralmente é definido como 120 dias antes que a vulnerabilidade seja divulgada publicamente. O grupo relatou a vulnerabilidade à Microsoft em 8 de maio e deu a eles 120 dias para corrigi-la, após o que a vulnerabilidade foi tornada pública. O grupo também compartilhou Prova de conceito (PoC) no GitHub com os detalhes relacionados à vulnerabilidade.

A vulnerabilidade é uma falha de gravação Out-of-Bound que pode ser acionada abrindo uma fonte Jet por meio de um componente da Microsoft conhecido como Object Linking and Embedding Database (OLEDB).

A falha específica existe no gerenciamento de índices no mecanismo de banco de dados Jet. Dados criados em um arquivo de banco de dados podem acionar uma gravação após o final de um buffer alocado.

- Trend Micro

A Microsoft aceitou a vulnerabilidade e espera-se que lance uma correção em outubro. Enquanto isso, 0patch confirmou um micropatch para usuários do Windows 7.

7 horas depois @thezdi publicou detalhes sobre essa vulnerabilidade explorável remotamente sem correção no Jet Database Engine, temos um candidato a micropatch no Windows 7. Mais informações sobre essa vulnerabilidade e nosso micropatch em breve. https://t.co/cSuIf5nubp

— 0patch (@0patch) 20 de Setembro de 2018

Por enquanto, a Trend Micro recomenda não abrir nenhum anexo de fontes não confiáveis ​​que possam conter um código malicioso. Pesquisa de segurança Lucas Leong foi creditado com a descoberta da vulnerabilidade.

via: ZDNet