信息來源:4hou
趨勢科技的Zero Day Initiative披露了Microsoft Windows Jet數(shù)據(jù)庫引擎中的0 day漏洞,盡管目前Microsoft還沒有提供安全更新���。
此漏洞由趨勢科技安全研究團隊的Lucas Leong發(fā)現(xiàn)���,允許攻擊者在存在漏洞的計算機上執(zhí)行遠程代碼���。啟動此攻擊���,需要打開特制的Jet數(shù)據(jù)庫文件,然后執(zhí)行對程序內存緩沖區(qū)的越界寫入���。從而導致目標Windows計算機上的遠程代碼執(zhí)行���。
此漏洞已被分配了ID號ZDI-18-1075 ,并聲明會影響Windows���。目前尚不清楚是否所有版本的Windows都受此漏洞的影響���。
此漏洞允許遠程攻擊者在Microsoft Windows的存在漏洞的軟件上執(zhí)行任意代碼。利用此漏洞需要用戶交互���,因為目標必須訪問惡意頁面或打開惡意文件���。
Jet數(shù)據(jù)庫引擎中的索引管理中存在特定漏洞。數(shù)據(jù)庫文件中精心設計的數(shù)據(jù)可以在已分配緩沖區(qū)的末尾觸發(fā)寫入���。攻擊者可以利用此漏洞在當前進程的上下文中執(zhí)行代碼���。
由于Microsoft尚未發(fā)布此漏洞的安全更新���,因此披露聲明防止此攻擊的唯一方法是僅打開受信任的Jet數(shù)據(jù)庫文件。
鑒于漏洞的性質���,唯一有效的緩解策略是限制應用程序與受信任文件的交互���。
發(fā)布該文章后,我們收到通知���,0Patch已發(fā)布解決此漏洞的第三方補丁���。他們還確認此漏洞會影響Windows 10,Windows 8.1���,Windows 7和Windows Server 2008-2016���。
We're happy to announce general availability of two free micropatches for the Jet Engine Out-Of-Bounds Write vulnerability disclosed yesterday by @thezdi. These micropatches apply to fully updated 32bit and 64bit:
· Windows 10
· Windows 8.1
· Windows 7
· Windows Server 2008-2016 pic.twitter.com/Du1cTFafiM
— 0patch (@0patch) September 21, 2018
沒有可用的更新
當Zero Day Initiative(ZDI)向供應商報告漏洞時���,他們允許供應商在4個月(120天)內修復漏洞并發(fā)布補丁���。如果供應商未在該時間范圍內發(fā)布修復程序或提供不這樣做的合理理由,ZDI將公開披露該漏洞���。
“如果在上述時間范圍內收到供應商回復,ZDI將允許供應商在4個月(120天)內通過安全補丁或其他適當?shù)募m正措施來解決漏洞���,”ZDI披露政策中說明了這一點���。 “在截止日期結束時,如果供應商沒有響應或無法提供關于為何未修復漏洞的合理聲明���,ZDI將發(fā)布有限的咨詢���,包括緩解措施,以使防御性社區(qū)能夠保護客戶���。我們相信通過采取這些行動���,供應商將理解他們對客戶的責任并做出適當?shù)姆磻?��。我們不會批準延長120天的披露時間表?��!?br />
此策略基本上強制供應商及時發(fā)布補丁。
據(jù)ZDI稱���,此漏洞已于05/08/18向微軟披露���,微軟于05/14/18確認收到此漏洞���。 ?
他在下面的時間表顯示���,微軟開始研究補丁,但遇到了問題���。由于這個原因���,他們無法在2018年9月的補丁周二更新中獲得修復。
05/08/18 - ZDI reported the vulnerability to the vendor and the vendor acknowledged the report05/14/18 - The vendor replied that they successfully reproduced the issue ZDI reported09/09/18 - The vendor reported an issue with the fix and that the fix might not make the September release09/10/18 - ZDI cautioned potential 0-day09/11/18 - The vendor confirmed the fix did not make the build09/12/18 - ZDI confirmed to the vendor the intention to 0-day on 09/20/18
作為本次披露的一部分���,ZDI在其Github存儲庫中發(fā)布了PoC���。
BleepingComputer已與微軟和ZDI聯(lián)系,了解本次公開背后的更多細節(jié)���,但在本文發(fā)布時尚未收到回復。
