Noll
Fjärrkörning av kod som påverkar Microsoft Jet-databasmotorn som har lämnats ut av Trend Micro.
Felet, som är tänkt att påverka “alla Windows version[s], inklusive server-versioner,” är ouppdaterad i skrivande stund.
Trend Micro Zero Day Initiative upprätthåller en inställd tid efter anmälan till leverantörer av allvarliga säkerhetsfrågor. Koncernen tillstånd 120 dagar för att lösa säkerhetsproblem innan offentliggörande.
Microsoft har överskridit denna tidsfrist.
Sårbarhet är en out-of-bounds (OOB) skriv fel som kan utlösas genom att öppna en Jet källan via en Microsoft-komponent som kallas Object Linking and Embedding Database (OLEDB).
“Viss brist finns inom förvaltningen av index i Jet-databasmotorn,” säkerhet forskare säger. “Utformad data i en databas fil kan utlösa en nedskrivning förbi slutet av en tilldelad buffert.”
TechRepublic: 8 bästa praxis för hantering av programfixar
Om exploateras säkerhetsbrist kan leda till fjärrkörning av kod i samband med den aktuella användaren.
Men, saving grace av denna sårbarhet är att för att utlösa en exploatering, användarinteraktion krävs genom öppnandet av en specialskriven, skadlig fil som innehåller Jet-databas information.
Se även: Microsoft patchar senaste ALPC noll-dag i September 2018 Patch tisdag uppdateringar
Proof-of-concept (PoC) för kod har offentliggjorts på GitHub.
Sårbarheten var rapporterats till Microsoft den 8 Maj. Medan Microsoft löst två separata buffertspill buggar som påverkar Jet i den senaste Microsoft-Patch tisdag update fix för felet inte göra utsläpp.
Redmond jätten har lyckats replikera fel och har accepterat den rapport som legitima. Företaget arbetar på en lapp och vi kan se det i den kommande Microsoft oktober Patch tisdag.
CNET: Intel stoppar vissa chip patchar som fixar orsaka problem
Som säkerhetsbrist är okorrigerad, Trend Micro säger det sätt att minska risken för att utnyttja är helt enkelt att hålla sig till bra standard av säkerhet och hygien-och medvetande-eller, med andra ord, öppna inte filer från otillförlitliga källor.
Följande offentliggörande av en säkerhetsbrist, 0patch lovade en micropatch lämplig för Windows 7 bygger vidare.
Uppdatering 15.25 BST: 0patch har nu gjort patchar finns tillgängliga för dem som vill lösa sina system före Microsofts nästa patch runt.
Plåstren gälla fullt ut-uppdaterad för 32-bitars och 64-bitars Windows-system, version 10, 8.1, 7 och Windows Server 2008-2016.
Lucas Leong av Trend Micro Säkerhet Forskning har krediterats med upptäckten av sårbarhet.
Ändring: Artikel, som ursprungligen rapporterade att säkerhetsbrist upptäcktes av Googles Project Zero. Detta har ändrats.
Tidigare och relaterade täckning
Adobe släpper patch ut schemat för squash kritiska kod bugg Adobe fixar kritiska kod brister i senaste patchen uppdatera Populära Vpn som finns kod säkerheten brister, trots plåster
Relaterade Ämnen:
Microsoft
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0