Zero Day Initiative披露了Windows JET資料庫0Day漏洞

摘要： 趨勢科技的Zero Day Initiative披露了Microsoft Windows Jet資料庫引擎中的0 day漏洞，儘管目前Microsoft還沒有提供安全更新。 此漏洞由趨勢科技安全研究團隊的Lucas Leong 發現，允許攻擊者在存在漏洞的計算機上執行遠端程式碼。...

趨勢科技的Zero Day Initiative披露了Microsoft Windows Jet資料庫引擎中的0 day漏洞，儘管目前Microsoft還沒有提供安全更新。

此漏洞由趨勢科技安全研究團隊的ofollow,noindex">Lucas Leong 發現，允許攻擊者在存在漏洞的計算機上執行遠端程式碼。啟動此攻擊，需要開啟特製的Jet資料庫檔案，然後執行對程式記憶體緩衝區的越界寫入。從而導致目標Windows計算機上的遠端程式碼執行。

此漏洞已被分配了ID號ZDI-18-1075 ，並宣告會影響Windows。目前尚不清楚是否所有版本的Windows都受此漏洞的影響。

此漏洞允許遠端攻擊者在Microsoft Windows的存在漏洞的軟體上執行任意程式碼。利用此漏洞需要使用者互動，因為目標必須訪問惡意頁面或開啟惡意檔案。

Jet資料庫引擎中的索引管理中存在特定漏洞。資料庫檔案中精心設計的資料可以在已分配緩衝區的末尾觸發寫入。攻擊者可以利用此漏洞在當前程序的上下文中執行程式碼。

由於Microsoft尚未釋出此漏洞的安全更新，因此披露宣告防止此攻擊的唯一方法是僅開啟受信任的Jet資料庫檔案。

鑑於漏洞的性質，唯一有效的緩解策略是限制應用程式與受信任檔案的互動。

釋出該文章後，我們收到通知，0Patch 已釋出解決此漏洞的第三方補丁。他們還確認此漏洞會影響Windows 10，Windows 8.1，Windows 7和Windows Server 2008-2016。

We're happy to announce general availability of two free micropatches for the Jet Engine Out-Of-Bounds Write vulnerability disclosed yesterday by@thezdi . These micropatches apply to fully updated 32bit and 64bit:

·Windows 10

· Windows 8.1

· Windows 7

· Windows Server 2008-2016 pic.twitter.com/Du1cTFafiM

— 0patch (@0patch)September 21, 2018

沒有可用的更新

當Zero Day Initiative（ZDI）向供應商報告漏洞時，他們允許供應商在4個月（120天）內修復漏洞併發布補丁。如果供應商未在該時間範圍內釋出修復程式或提供不這樣做的合理理由，ZDI將公開披露該漏洞。

“如果在上述時間範圍內收到供應商回覆，ZDI將允許供應商在4個月（120天）內通過安全補丁或其他適當的糾正措施來解決漏洞，”ZDI披露政策中說明了這一點。 “在截止日期結束時，如果供應商沒有響應或無法提供關於為何未修復漏洞的合理宣告，ZDI將釋出有限的諮詢，包括緩解措施，以使防禦性社群能夠保護客戶。我們相信通過採取這些行動，供應商將理解他們對客戶的責任並做出適當的反應。我們不會批准延長120天的披露時間表。”

此策略基本上強制供應商及時釋出補丁。

據ZDI稱，此漏洞已於05/08/18向微軟披露，微軟於05/14/18確認收到此漏洞。 Ť

他在下面的時間表顯示，微軟開始研究補丁，但遇到了問題。由於這個原因，他們無法在2018年9月的補丁週二更新中獲得修復。

05/08/18 - ZDI reported the vulnerability to the vendor and the vendor acknowledged the report05/14/18 - The vendor replied that they successfully reproduced the issue ZDI reported09/09/18 - The vendor reported an issue with the fix and that the fix might not make the September release09/10/18 - ZDI cautioned potential 0-day09/11/18 - The vendor confirmed the fix did not make the build09/12/18 - ZDI confirmed to the vendor the intention to 0-day on 09/20/18

作為本次披露的一部分，ZDI在其Github儲存庫中釋出了PoC。

BleepingComputer已與微軟和ZDI聯絡，瞭解本次公開背後的更多細節，但在本文釋出時尚未收到回覆。