信息来源:4hou
趋势科技的Zero Day Initiative披露了Microsoft Windows Jet数据库引擎中的0 day漏洞,尽管目前Microsoft还没有提供安全更新。
此漏洞由趋势科技安全研究团队的Lucas Leong发现,允许攻击者在存在漏洞的计算机上执行远程代码。启动此攻击,需要打开特制的Jet数据库文件,然后执行对程序内存缓冲区的越界写入。从而导致目标Windows计算机上的远程代码执行。
此漏洞已被分配了ID号ZDI-18-1075 ,并声明会影响Windows。目前尚不清楚是否所有版本的Windows都受此漏洞的影响。
此漏洞允许远程攻击者在Microsoft Windows的存在漏洞的软件上执行任意代码。利用此漏洞需要用户交互,因为目标必须访问恶意页面或打开恶意文件。
Jet数据库引擎中的索引管理中存在特定漏洞。数据库文件中精心设计的数据可以在已分配缓冲区的末尾触发写入。攻击者可以利用此漏洞在当前进程的上下文中执行代码。
由于Microsoft尚未发布此漏洞的安全更新,因此披露声明防止此攻击的唯一方法是仅打开受信任的Jet数据库文件。
鉴于漏洞的性质,唯一有效的缓解策略是限制应用程序与受信任文件的交互。
发布该文章后,我们收到通知,0Patch已发布解决此漏洞的第三方补丁。他们还确认此漏洞会影响Windows 10,Windows 8.1,Windows 7和Windows Server 2008-2016。
We're happy to announce general availability of two free micropatches for the Jet Engine Out-Of-Bounds Write vulnerability disclosed yesterday by @thezdi. These micropatches apply to fully updated 32bit and 64bit:
· Windows 10
· Windows 8.1
· Windows 7
· Windows Server 2008-2016 pic.twitter.com/Du1cTFafiM
— 0patch (@0patch) September 21, 2018
没有可用的更新
当Zero Day Initiative(ZDI)向供应商报告漏洞时,他们允许供应商在4个月(120天)内修复漏洞并发布补丁。如果供应商未在该时间范围内发布修复程序或提供不这样做的合理理由,ZDI将公开披露该漏洞。
“如果在上述时间范围内收到供应商回复,ZDI将允许供应商在4个月(120天)内通过安全补丁或其他适当的纠正措施来解决漏洞,”ZDI披露政策中说明了这一点。 “在截止日期结束时,如果供应商没有响应或无法提供关于为何未修复漏洞的合理声明,ZDI将发布有限的咨询,包括缓解措施,以使防御性社区能够保护客户。我们相信通过采取这些行动,供应商将理解他们对客户的责任并做出适当的反应。我们不会批准延长120天的披露时间表。”
此策略基本上强制供应商及时发布补丁。
据ZDI称,此漏洞已于05/08/18向微软披露,微软于05/14/18确认收到此漏洞。 Ť
他在下面的时间表显示,微软开始研究补丁,但遇到了问题。由于这个原因,他们无法在2018年9月的补丁周二更新中获得修复。
05/08/18 - ZDI reported the vulnerability to the vendor and the vendor acknowledged the report05/14/18 - The vendor replied that they successfully reproduced the issue ZDI reported09/09/18 - The vendor reported an issue with the fix and that the fix might not make the September release09/10/18 - ZDI cautioned potential 0-day09/11/18 - The vendor confirmed the fix did not make the build09/12/18 - ZDI confirmed to the vendor the intention to 0-day on 09/20/18
作为本次披露的一部分,ZDI在其Github存储库中发布了PoC。
BleepingComputer已与微软和ZDI联系,了解本次公开背后的更多细节,但在本文发布时尚未收到回复。