趨勢科技披露了一個未修補的 Microsoft Jet 漏洞

趨勢科技披露了一個尚未修補的新 Microsoft Jet 漏洞。 該漏洞影響所有受支持的 Windows 操作系統和服務器版本。

趨勢科技的零日計劃通過識別錯誤並將其報告給軟件供應商來確定修復它的時間框架。 時間範圍通常設置為漏洞公開披露前的 120 天。 該組織於 8 月 120 日向 Microsoft 報告了該漏洞，並給了他們 XNUMX 天的時間來修復它，隨後該漏洞被公開。 該小組還分享了 GitHub 上的概念證明 (PoC) 以及與漏洞相關的詳細信息。

該漏洞是一個越界寫入漏洞，可以通過稱為對象鏈接和嵌入數據庫 (OLEDB) 的 Microsoft 組件打開 Jet 源來觸發。

Jet 數據庫引擎中的索引管理中存在特定缺陷。 數據庫文件中的精心製作的數據可以觸發超過分配緩衝區末尾的寫入。

– 趨勢科技

微軟已接受該漏洞，預計將在 0 月推出修復程序。 同時，7patch 已經確認了一個適用於 Windows XNUMX 用戶的微補丁。

7小時後 @thezdi 已發布有關 Jet 數據庫引擎中此未修補的遠程可利用漏洞的詳細信息，我們在 Windows 7 上有一個候選微補丁。有關此漏洞和我們的微補丁的更多信息即將發布。 https://t.co/cSuIf5nubp

— 0 補丁 (@0 補丁) 2018 年 9 月 20 日

目前，趨勢科技建議不要打開任何可能包含惡意代碼的不受信任來源的附件。 安全研究人員 Lucas Leong 發現了該漏洞。

街道： 網易科技