信息來源:4hou
趨勢科技的Zero Day Initiative披露了Microsoft Windows Jet數(shù)據(jù)庫引擎中的0 day漏洞���,盡管目前Microsoft還沒有提供安全更新���。
此漏洞由趨勢科技安全研究團(tuán)隊(duì)的Lucas Leong發(fā)現(xiàn),允許攻擊者在存在漏洞的計(jì)算機(jī)上執(zhí)行遠(yuǎn)程代碼����。啟動此攻擊,需要打開特制的Jet數(shù)據(jù)庫文件����,然后執(zhí)行對程序內(nèi)存緩沖區(qū)的越界寫入。從而導(dǎo)致目標(biāo)Windows計(jì)算機(jī)上的遠(yuǎn)程代碼執(zhí)行����。
此漏洞已被分配了ID號ZDI-18-1075 ,并聲明會影響Windows����。目前尚不清楚是否所有版本的Windows都受此漏洞的影響。
此漏洞允許遠(yuǎn)程攻擊者在Microsoft Windows的存在漏洞的軟件上執(zhí)行任意代碼���。利用此漏洞需要用戶交互���,因?yàn)槟繕?biāo)必須訪問惡意頁面或打開惡意文件���。
Jet數(shù)據(jù)庫引擎中的索引管理中存在特定漏洞。數(shù)據(jù)庫文件中精心設(shè)計(jì)的數(shù)據(jù)可以在已分配緩沖區(qū)的末尾觸發(fā)寫入����。攻擊者可以利用此漏洞在當(dāng)前進(jìn)程的上下文中執(zhí)行代碼。
由于Microsoft尚未發(fā)布此漏洞的安全更新����,因此披露聲明防止此攻擊的唯一方法是僅打開受信任的Jet數(shù)據(jù)庫文件。
鑒于漏洞的性質(zhì)���,唯一有效的緩解策略是限制應(yīng)用程序與受信任文件的交互���。
發(fā)布該文章后,我們收到通知���,0Patch已發(fā)布解決此漏洞的第三方補(bǔ)丁����。他們還確認(rèn)此漏洞會影響Windows 10,Windows 8.1����,Windows 7和Windows Server 2008-2016����。
We're happy to announce general availability of two free micropatches for the Jet Engine Out-Of-Bounds Write vulnerability disclosed yesterday by @thezdi. These micropatches apply to fully updated 32bit and 64bit:
· Windows 10
· Windows 8.1
· Windows 7
· Windows Server 2008-2016 pic.twitter.com/Du1cTFafiM
— 0patch (@0patch) September 21, 2018
沒有可用的更新
當(dāng)Zero Day Initiative(ZDI)向供應(yīng)商報(bào)告漏洞時(shí),他們允許供應(yīng)商在4個(gè)月(120天)內(nèi)修復(fù)漏洞并發(fā)布補(bǔ)丁����。如果供應(yīng)商未在該時(shí)間范圍內(nèi)發(fā)布修復(fù)程序或提供不這樣做的合理理由,ZDI將公開披露該漏洞����。
“如果在上述時(shí)間范圍內(nèi)收到供應(yīng)商回復(fù),ZDI將允許供應(yīng)商在4個(gè)月(120天)內(nèi)通過安全補(bǔ)丁或其他適當(dāng)?shù)募m正措施來解決漏洞���,”ZDI披露政策中說明了這一點(diǎn)����。 “在截止日期結(jié)束時(shí)���,如果供應(yīng)商沒有響應(yīng)或無法提供關(guān)于為何未修復(fù)漏洞的合理聲明���,ZDI將發(fā)布有限的咨詢���,包括緩解措施,以使防御性社區(qū)能夠保護(hù)客戶����。我們相信通過采取這些行動,供應(yīng)商將理解他們對客戶的責(zé)任并做出適當(dāng)?shù)姆磻?yīng)���。我們不會批準(zhǔn)延長120天的披露時(shí)間表����?��!?br />
此策略基本上強(qiáng)制供應(yīng)商及時(shí)發(fā)布補(bǔ)丁����。
據(jù)ZDI稱���,此漏洞已于05/08/18向微軟披露����,微軟于05/14/18確認(rèn)收到此漏洞。 ?
他在下面的時(shí)間表顯示���,微軟開始研究補(bǔ)丁����,但遇到了問題���。由于這個(gè)原因,他們無法在2018年9月的補(bǔ)丁周二更新中獲得修復(fù)���。
05/08/18 - ZDI reported the vulnerability to the vendor and the vendor acknowledged the report05/14/18 - The vendor replied that they successfully reproduced the issue ZDI reported09/09/18 - The vendor reported an issue with the fix and that the fix might not make the September release09/10/18 - ZDI cautioned potential 0-day09/11/18 - The vendor confirmed the fix did not make the build09/12/18 - ZDI confirmed to the vendor the intention to 0-day on 09/20/18
作為本次披露的一部分����,ZDI在其Github存儲庫中發(fā)布了PoC����。
BleepingComputer已與微軟和ZDI聯(lián)系,了解本次公開背后的更多細(xì)節(jié)���,但在本文發(fā)布時(shí)尚未收到回復(fù)���。
