Zero
Une vulnérabilité d’exécution de code à distance impact sur la Base de données Microsoft Jet Engine a été divulguée par Trend Micro.
Le bug, ce qui est pensé à l’impact “toutes les éditions de Windows version[s], y compris les éditions serveur” est non corrigés au moment de la rédaction.
Trend Micro Zero Day Initiative applique un ensemble limite de temps après la notification de fournisseurs de graves problèmes de sécurité. Le groupe permet de 120 jours pour résoudre une vulnérabilité avant la divulgation publique.
Microsoft a dépassé ce délai.
La vulnérabilité est un hors-limites (OOB) écrire une faille qui peut être déclenché par l’ouverture d’un Jet source via un Microsoft composant Liaison et Incorporation d’Objets de Base de données (OLEDB).
“L’erreur spécifique existe dans la gestion des index de la base de données Jet moteur de,” de la sécurité disent les chercheurs. “Conçu des données dans un fichier de base de données peut déclencher une écriture-delà de la fin d’un tampon alloué.”
TechRepublic: 8 bonnes pratiques pour la gestion des correctifs logiciels
Si elles étaient exploitées, la faille de sécurité pourrait conduire à l’exécution de code à distance dans le contexte de l’utilisateur actuel.
Cependant, la grâce salvatrice de ce problème est que dans le but de provoquer un exploit, l’interaction de l’utilisateur est requis dans le cadre de l’ouverture d’une ficelé, fichier malveillant contenant Jet d’informations de base de données.
Voir aussi: les correctifs Microsoft récente ALPC zéro-jour en septembre 2018 Patch Tuesday mises à jour
La preuve de concept (PoC) code a été rendu public sur GitHub.
La vulnérabilité a été signalée à Microsoft le 8 Mai. Alors que Microsoft a résolu deux distincts débordement de la mémoire tampon de bugs affectant Jet dans la plus récente de Microsoft Patch Tuesday de mise à jour, un correctif pour ce bug n’a pas à faire de la libération.
Le géant de Redmond a réussi à reproduire le bug et a accepté le rapport comme légitime. La société travaille sur un patch, et nous sommes susceptibles de voir dans le prochain Microsoft octobre Patch Tuesday.
CNET: Intel arrête de certaines puces des patchs correctifs causer des problèmes
Comme la faille de sécurité est non corrigés, Trend Micro a dit que le moyen d’atténuer le risque d’exploitation est de simplement adhérer aux bonnes normes de sécurité, d’hygiène et de prise de conscience, ou, en d’autres termes, ne pas ouvrir les fichiers provenant de sources non fiables.
À la suite de la divulgation de la faille de sécurité, 0patch promis un micropatch adapté pour Windows 7 est construit.
Mise à jour de 15,25 BST: 0patch a maintenant fait les correctifs disponibles pour ceux qui souhaitent remédier à leurs systèmes à l’avance de Microsoft du prochain patch rond.
Les patchs s’appliquent à la mise à jour 32 bits et 64 bits des systèmes Windows, les versions 10, 8.1, Windows 7 et Windows Server 2008-2016.
Lucas Leong de Sécurité Trend Micro de Recherche a été crédité de la découverte de la vulnérabilité.
Modification: de l’Article initialement rapporté que la faille de sécurité a été trouvé par Google Project Zero. Cela a été modifié.
Précédente et de la couverture liée
Adobe versions patch de l’annexe à la courge critique exécution de code bug Adobe correctifs critiques exécution de code défauts dans le dernier patch de mise à jour Populaire Vpn contenues exécution de code à des failles de sécurité, malgré les patchs
Rubriques Connexes:
Microsoft
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0