Nul
Een uitvoering van externe code kwetsbaarheid invloed op de Microsoft Jet-Database-Engine is gemaakt door Trend Micro.
De bug, dat wordt gedacht aan het effect “alle ondersteunde Windows-versie[s], met inbegrip van server-edities,” is niet gecorrigeerde op het moment van schrijven.
De Trend Micro-Zero Day Initiative dwingt een gestelde termijn na de kennisgeving van leveranciers van ernstige security problemen. De groep vergunningen 120 dagen te verhelpen een kwetsbaarheid voor openbaarmaking.
Microsoft heeft overschreden van deze termijn.
De kwetsbaarheid is een out-of-bounds (OOB) schrijven fout die kan worden geactiveerd door het openen van een Jet-bron via een Microsoft-component bekend als Object Linking and Embedding Database (OLEDB).
“De specifieke fout bestaat in het beheer van de indexen in de Jet database engine,” de security-onderzoekers zeggen. “Vervaardigd van gegevens in een database-bestand kan leiden tot een schrijven voorbij het einde van een toegewezen buffer.”
TechRepublic: 8 best practices voor het beheer van software patches
Als ze benut de lek zou kunnen leiden tot uitvoering van externe code in de context van de huidige gebruiker.
Echter, de reddende genade van deze kwetsbaarheid is dat om te leiden tot een exploit, de interactie van de gebruiker is vereist door de opening van een vervaardigde, kwaadaardige bestand met Jet-database-informatie.
Zie ook: Microsoft-patches recente ALPC zero-day in September 2018 Patch dinsdag updates
Proof-of-concept (PoC) – code is openbaar gemaakt op GitHub.
De kwetsbaarheid werd gemeld dat Microsoft op 8 Mei. Terwijl Microsoft opgelost twee aparte buffer overflow bugs invloed Jet in de nieuwste Microsoft-Patch Tuesday update, een oplossing voor deze bug niet op de release.
De Redmond reus heeft weten te repliceren van de bug en heeft ingestemd met het rapport als legitiem. Het bedrijf werkt aan een patch en we zijn waarschijnlijk om het te zien in de aankomende Microsoft oktober Patch dinsdag.
CNET: Intel stopt sommige chip patches als de corrigeert problemen
Als het lek is niet gecorrigeerde, Trend Micro zegt dat de weg naar een vermindering van het risico van exploiteren is gewoon te houden aan goede normen van veiligheid en hygiëne bewustzijn — of, in andere woorden, open geen bestanden van bronnen die u niet vertrouwt.
Na de openbare bekendmaking van de lek, 0patch beloofde een micropatch geschikt voor Windows 7 bouwt.
Update 15.25 UUR: 0patch heeft nu patches beschikbaar voor degenen die wensen te treffen om hun systemen met een voorsprong van Microsoft ‘ s volgende patch ronde.
De patches van toepassing op volledig bijgewerkt 32-bits en 64-bits Windows-systemen, versie 10, 8.1, 7 en Windows Server 2008-2016.
Lucas Leong van Trend Micro Security Onderzoek is gecrediteerd met de ontdekking van de kwetsbaarheid.
Amendement: Artikel oorspronkelijk werd gemeld dat de beveiliging lek was gevonden door Google ‘ s Project Zero. Dit is gewijzigd.
Vorige en aanverwante dekking
Adobe geeft patch uit van plannen om squash kritieke code bug Adobe verhelpt kritieke code gebreken in de nieuwste patch update Populaire Vpn ‘ s opgenomen code beveiligingsfouten, ondanks patches
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters
0