Nul
En fjernkørsel af programkode sårbarhed påvirker Microsoft Jet Database Engine er blevet offentliggjort af Trend Micro.
Det er en fejl, som menes at påvirke “alle understøttede Windows-version[s], herunder server udgaver,” er opdateret i skrivende stund.
Trend Micro Zero Day Initiative gennemtvinger en fastsat tidsfrist, efter at anmelde leverandører af alvorlige sikkerhedsmæssige problemer. Gruppen tillader 120 dage til at løse en sårbarhed, før en offentliggørelse.
Microsoft har overskrides denne frist.
Sårbarheden er en out-of-bounds (OOB) skrive fejl, som kan udløses ved at åbne en Jet-kilde via et Microsoft-komponent, er kendt som Object Linking and Embedding Database (OLEDB).
“Den specifikke fejl i forvaltningen af indekser i Jet database engine,” den sikkerhed, siger forskere. “Fabrikeret data i en database-fil, der kan udløse en skrive forbi slutningen af en tildelt buffer.”
TechRepublic: 8 bedste praksis for håndtering af softwarerettelser
Hvis det udnyttes, sikkerhedshul kan føre til fjernkørsel af programkode i forbindelse med den aktuelle bruger.
Men den frelsende nåde af denne svaghed er, at for at udløse en exploit, bruger-interaktion er nødvendig gennem åbning af en fabrikeret, skadelig fil, der indeholder Jet database oplysninger.
Se også: Microsoft lapper de seneste ALPC nul-dag i September 2018 Patch tirsdag opdateringer
Proof-of-concept (PoC) – kode er blevet offentliggjort på GitHub.
Den sårbarhed, som blev rapporteret til Microsoft på 8 Maj. Mens Microsoft løst to separate buffer overflow fejl, der påvirker Jet i den nyeste Microsoft-Patch tirsdag opdatering, en rettelse af denne fejl ikke gør løsladelse.
Den Redmond-giganten har formået at gentage fejl og har accepteret rapporten, som legitime. Selskabet arbejder på en patch, og vi er tilbøjelige til at se det i den kommende Microsoft oktober Patch tirsdag.
CNET: Intel stopper nogle chip-lapper, som de løser forårsage problemer
Som sikkerhedshul er uændrede, Trend Micro siger, at den måde at mindske risikoen for, at udnytte er simpelthen at holde sig til gode standarder for sikkerhed, hygiejne og bevidsthed-eller, med andre ord, skal du ikke åbne filer fra usikre kilder.
Efter den offentlige fremlæggelse af det sikkerhedshul, 0patch lovet en micropatch egnet til Windows 7 bygger.
Opdatering 15.25 BST: 0patch har nu lavet patches til rådighed for dem, der ønsker at afhjælpe deres systemer forud for Microsofts næste patch runde.
Patches gælder for fuldt opdateret 32-bit og 64-bit Windows systemer, version 10, 8.1, 7 og Windows Server 2008-2016.
Lucas Leong af Trend Micro sikkerhedsforskning er blevet krediteret for opdagelsen af sårbarhed.
Ændring: Artikel blev oprindeligt rapporteret, at sikkerhedshul blev fundet af Google ‘ s Project Zero. Dette er blevet ændret.
Tidligere og relaterede dækning
Adobe frigiver patch ud af tidsplan til squash-kritisk kode-fejl Adobe løser kritisk kode fejl i seneste patch update Populære Vpn ‘ er, som er indeholdt kode sikkerhedshuller, på trods af patches
Relaterede Emner:
Microsoft
Sikkerhed-TV
Data Management
CXO
Datacentre
0