趋势科技披露了一个未修补的 Microsoft Jet 漏洞

趋势科技披露了一个尚未修补的新 Microsoft Jet 漏洞。 该漏洞影响所有受支持的 Windows 操作系统和服务器版本。

趋势科技的零日计划通过识别错误并将其报告给软件供应商来确定修复它的时间框架。 时间范围通常设置为漏洞公开披露前的 120 天。 该组织于 8 月 120 日向 Microsoft 报告了该漏洞，并给了他们 XNUMX 天的时间来修复它，随后该漏洞被公开。 该小组还分享了 GitHub 上的概念证明 (PoC) 以及与漏洞相关的详细信息。

该漏洞是一个越界写入漏洞，可以通过称为对象链接和嵌入数据库 (OLEDB) 的 Microsoft 组件打开 Jet 源来触发。

Jet 数据库引擎中的索引管理中存在特定缺陷。 数据库文件中的精心制作的数据可以触发超过分配缓冲区末尾的写入。

– 趋势科技

微软已接受该漏洞，预计将在 0 月推出修复程序。 同时，7patch 已经确认了一个适用于 Windows XNUMX 用户的微补丁。

7小时后 @thezdi 已发布有关 Jet 数据库引擎中此未修补的远程可利用漏洞的详细信息，我们在 Windows 7 上有一个候选微补丁。有关此漏洞和我们的微补丁的更多信息即将发布。 https://t.co/cSuIf5nubp

— 0 补丁 (@0 补丁) 2018 年 9 月 20 日

目前，趋势科技建议不要打开任何来自不受信任来源的可能包含恶意代码的附件。 安全研究人员 Lucas Leong 发现了该漏洞。

通过： 网易科技