當前位置:
首頁 > 新聞 > Zero Day Initiative披露了Windows JET資料庫0Day漏洞

Zero Day Initiative披露了Windows JET資料庫0Day漏洞

新聞 09-25

趨勢科技的Zero Day Initiative披露了Microsoft Windows Jet資料庫引擎中的0 day漏洞,儘管目前Microsoft還沒有提供安全更新。

此漏洞由趨勢科技安全研究團隊的Lucas Leong發現,允許攻擊者在存在漏洞的計算機上執行遠程代碼。啟動此攻擊,需要打開特製的Jet資料庫文件,然後執行對程序內存緩衝區的越界寫入。從而導致目標Windows計算機上的遠程代碼執行。

此漏洞已被分配了ID號ZDI-18-1075 ,並聲明會影響Windows。目前尚不清楚是否所有版本的Windows都受此漏洞的影響。

此漏洞允許遠程攻擊者在Microsoft Windows的存在漏洞的軟體上執行任意代碼。利用此漏洞需要用戶交互,因為目標必須訪問惡意頁面或打開惡意文件。

Jet資料庫引擎中的索引管理中存在特定漏洞。資料庫文件中精心設計的數據可以在已分配緩衝區的末尾觸發寫入。攻擊者可以利用此漏洞在當前進程的上下文中執行代碼。

由於Microsoft尚未發布此漏洞的安全更新,因此披露聲明防止此攻擊的唯一方法是僅打開受信任的Jet資料庫文件。

鑒於漏洞的性質,唯一有效的緩解策略是限制應用程序與受信任文件的交互。

發布該文章後,我們收到通知,0Patch已發布解決此漏洞的第三方補丁。他們還確認此漏洞會影響Windows 10,Windows 8.1,Windows 7和Windows Server 2008-2016。

We"re happy to announce general availability of two free micropatches for the Jet Engine Out-Of-Bounds Write vulnerability disclosed yesterday by @thezdi. These micropatches apply to fully updated 32bit and 64bit:

·Windows 10

·Windows 8.1

·Windows 7

·Windows Server 2008-2016 pic.twitter.com/Du1cTFafiM

— 0patch (@0patch) September 21, 2018

沒有可用的更新

當Zero Day Initiative(ZDI)向供應商報告漏洞時,他們允許供應商在4個月(120天)內修復漏洞並發布補丁。如果供應商未在該時間範圍內發布修復程序或提供不這樣做的合理理由,ZDI將公開披露該漏洞。

「如果在上述時間範圍內收到供應商回復,ZDI將允許供應商在4個月(120天)內通過安全補丁或其他適當的糾正措施來解決漏洞,」ZDI披露政策中說明了這一點。 「在截止日期結束時,如果供應商沒有響應或無法提供關於為何未修復漏洞的合理聲明,ZDI將發布有限的諮詢,包括緩解措施,以使防禦性社區能夠保護客戶。我們相信通過採取這些行動,供應商將理解他們對客戶的責任並做出適當的反應。我們不會批准延長120天的披露時間表。」

此策略基本上強制供應商及時發布補丁。

據ZDI稱,此漏洞已於05/08/18向微軟披露,微軟於05/14/18確認收到此漏洞。

他在下面的時間表顯示,微軟開始研究補丁,但遇到了問題。由於這個原因,他們無法在2018年9月的補丁周二更新中獲得修復。

05/08/18 - ZDI reported the vulnerability to the vendor and the vendor acknowledged the report

05/14/18 - The vendor replied that they successfully reproduced the issue ZDI reported

09/09/18 - The vendor reported an issue with the fix and that the fix might not make the September release

09/10/18 - ZDI cautioned potential 0-day

09/11/18 - The vendor confirmed the fix did not make the build

09/12/18 - ZDI confirmed to the vendor the intention to 0-day on 09/20/18

作為本次披露的一部分,ZDI在其Github存儲庫中發布了PoC。

BleepingComputer已與微軟和ZDI聯繫,了解本次公開背後的更多細節,但在本文發布時尚未收到回復。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

如何搭建一個開源的蜜罐環境
Domestic Kitten:針對伊朗的監控活動

TAG:嘶吼RoarTalk |