信息來源:4hou
趨勢科技的Zero Day Initiative披露了Microsoft Windows Jet數(shù)據(jù)庫引擎中的0 day漏洞,盡管目前Microsoft還沒有提供安全更新。
此漏洞由趨勢科技安全研究團隊的Lucas Leong發(fā)現(xiàn),允許攻擊者在存在漏洞的計算機上執(zhí)行遠程代碼。啟動此攻擊,需要打開特制的Jet數(shù)據(jù)庫文件,然后執(zhí)行對程序內(nèi)存緩沖區(qū)的越界寫入。從而導致目標Windows計算機上的遠程代碼執(zhí)行。
此漏洞已被分配了ID號ZDI-18-1075 ,并聲明會影響Windows。目前尚不清楚是否所有版本的Windows都受此漏洞的影響。
此漏洞允許遠程攻擊者在Microsoft Windows的存在漏洞的軟件上執(zhí)行任意代碼。利用此漏洞需要用戶交互,因為目標必須訪問惡意頁面或打開惡意文件。
Jet數(shù)據(jù)庫引擎中的索引管理中存在特定漏洞。數(shù)據(jù)庫文件中精心設(shè)計的數(shù)據(jù)可以在已分配緩沖區(qū)的末尾觸發(fā)寫入。攻擊者可以利用此漏洞在當前進程的上下文中執(zhí)行代碼。
由于Microsoft尚未發(fā)布此漏洞的安全更新,因此披露聲明防止此攻擊的唯一方法是僅打開受信任的Jet數(shù)據(jù)庫文件。
鑒于漏洞的性質(zhì),唯一有效的緩解策略是限制應用程序與受信任文件的交互。
發(fā)布該文章后,我們收到通知,0Patch已發(fā)布解決此漏洞的第三方補丁。他們還確認此漏洞會影響Windows 10,Windows 8.1,Windows 7和Windows Server 2008-2016。
We're happy to announce general availability of two free micropatches for the Jet Engine Out-Of-Bounds Write vulnerability disclosed yesterday by @thezdi. These micropatches apply to fully updated 32bit and 64bit:
· Windows 10
· Windows 8.1
· Windows 7
· Windows Server 2008-2016 pic.twitter.com/Du1cTFafiM
— 0patch (@0patch) September 21, 2018
沒有可用的更新
當Zero Day Initiative(ZDI)向供應商報告漏洞時,他們允許供應商在4個月(120天)內(nèi)修復漏洞并發(fā)布補丁。如果供應商未在該時間范圍內(nèi)發(fā)布修復程序或提供不這樣做的合理理由,ZDI將公開披露該漏洞。
“如果在上述時間范圍內(nèi)收到供應商回復,ZDI將允許供應商在4個月(120天)內(nèi)通過安全補丁或其他適當?shù)募m正措施來解決漏洞,”ZDI披露政策中說明了這一點。 “在截止日期結(jié)束時,如果供應商沒有響應或無法提供關(guān)于為何未修復漏洞的合理聲明,ZDI將發(fā)布有限的咨詢,包括緩解措施,以使防御性社區(qū)能夠保護客戶。我們相信通過采取這些行動,供應商將理解他們對客戶的責任并做出適當?shù)姆磻?。我們不會批準延長120天的披露時間表。”
此策略基本上強制供應商及時發(fā)布補丁。
據(jù)ZDI稱,此漏洞已于05/08/18向微軟披露,微軟于05/14/18確認收到此漏洞。 ?
他在下面的時間表顯示,微軟開始研究補丁,但遇到了問題。由于這個原因,他們無法在2018年9月的補丁周二更新中獲得修復。
05/08/18 - ZDI reported the vulnerability to the vendor and the vendor acknowledged the report05/14/18 - The vendor replied that they successfully reproduced the issue ZDI reported09/09/18 - The vendor reported an issue with the fix and that the fix might not make the September release09/10/18 - ZDI cautioned potential 0-day09/11/18 - The vendor confirmed the fix did not make the build09/12/18 - ZDI confirmed to the vendor the intention to 0-day on 09/20/18
作為本次披露的一部分,ZDI在其Github存儲庫中發(fā)布了PoC。
BleepingComputer已與微軟和ZDI聯(lián)系,了解本次公開背后的更多細節(jié),但在本文發(fā)布時尚未收到回復。