Google Project Zero 安全团队9月20日公开披露了一个影响 Microsoft Jet 数据库引擎的远程执行代码漏洞。该漏洞被认为会影响所有支持的 Windows 版本（包括服务器版本），截至9月20日，这个bug仍未修补。

Google 团队表示他们已遵循其披露流程，ZDI（Zero Day Initiative) 在通知供应商严重安全问题后执行设定的时间限制，该组织允许120天在公开披露之前解决漏洞，微软已经超过了这个截止日期。

此问题的根本原因在于Microsoft JET数据库引擎。微软在九月补丁周二更新中修补了JET中的另外两个问题。虽然修补的错误被列为缓冲区溢出，但这个额外的错误实际上是一个越界写入，可以通过OLEDB打开Jet数据源来触发。以下是产生的崩溃：

（图片来自：ZDI）

安全研究人员称，Jet数据库引擎中的索引管理存在特定缺陷。数据库文件中精心设计的数据可以触发超出分配缓冲区末尾的写入。

如果被利用，安全漏洞可能导致在当前用户的上下文中远程执行代码。

但是，此漏洞的优点在于，为了触发漏洞利用，需要通过打开包含Jet数据库信息的精心制作的恶意文件来进行用户交互。

在公开披露安全漏洞之后，0patch 承诺提供适用于Windows 7版本的微调。

（图为Opatch9月20日推文）

（图为Opatch9月21日推文）

概念验证（PoC）代码已在GitHub上公开。

链接：

https://github.com/thezdi/PoC/tree/master/ZDI-18-1075

Google 于5月8日向 Microsoft 报告了此漏洞。虽然微软在最新的微软星期二补丁日更新中解决了影响Jet的两个独立的缓冲区溢出漏洞，但是这个漏洞的修复程序并没有发布。

雷德蒙德巨人已设法复制该错误，并承认其报告的合法性。该公司正在开发一个补丁，我们很可能会在即将发布的微软十月（周二）补丁中看到它。

05/08/18 -  ZDI报告了供应商的漏洞，该供应商当天承认

05/14/18 - 供应商回复称他们成功复制了ZDI报道的问题

09/09/18 - 供应商报告了修复程序的问题，修复程序可能不会发布9月发布

09/10/18 -  ZDI警告潜在的0-day

09/11/18 - 供应商确认修复程序没有进行构建

09/12/18 -  ZDI向供应商确认了在09/20/18 0-day的意向

09/20/18 - 协调公开发布咨询

参考来源：

• ZDNet

• Zero Day Intiative

• Opatch
  

往期热门资讯：                                        

扫描二维码，获得更多新鲜资讯！