Google Project Zero 安全團隊9月20日公開披露了一個影響 Microsoft Jet 資料庫引擎的遠端執行程式碼漏洞。該漏洞被認為會影響所有支援的 Windows 版本(包括伺服器版本),截至9月20日,這個bug仍未修補。
Google 團隊表示他們已遵循其披露流程,ZDI(Zero Day Initiative) 在通知供應商嚴重安全問題後執行設定的時間限制,該組織允許120天在公開披露之前解決漏洞,微軟已經超過了這個截止日期。
此問題的根本原因在於Microsoft JET資料庫引擎。微軟在九月補丁週二更新中修補了JET中的另外兩個問題。雖然修補的錯誤被列為緩衝區溢位,但這個額外的錯誤實際上是一個越界寫入,可以通過OLEDB開啟Jet資料來源來觸發。以下是產生的崩潰:
(圖片來自:ZDI)
安全研究人員稱,Jet資料庫引擎中的索引管理存在特定缺陷。資料庫檔案中精心設計的資料可以觸發超出分配緩衝區末尾的寫入。
如果被利用,安全漏洞可能導致在當前使用者的上下文中遠端執行程式碼。
但是,此漏洞的優點在於,為了觸發漏洞利用,需要通過開啟包含Jet資料庫資訊的精心製作的惡意檔案來進行使用者互動。
在公開披露安全漏洞之後,0patch{Microscopic cures for big security holes. 0patch (pronounced 'zero patch')}承諾提供適用於Windows 7版本的微調。
(圖為Opatch9月20日推文)
(圖為Opatch9月21日推文)
“我們很高興地宣佈@thezdi昨天(9月20日)公佈的Jet Engine Out-Of-Bounds Write漏洞的兩個免費微型計劃的普遍可用性。這些微型版適用於完全更新的32位和64位: - Windows 10 - Windows 8.1 - Windows 7 - Windows Server 2008-2016”
概念驗證(PoC)程式碼已在GitHub上公開,連結:https://github.com/thezdi/PoC/tree/master/ZDI-18-1075
Google 於5月8日向 Microsoft 報告了此漏洞。雖然微軟在最新的微軟補丁星期二更新中解決了影響Jet的兩個獨立的緩衝區溢位漏洞,但是這個漏洞的修復程式並沒有釋出。
雷德蒙德巨人已設法複製該錯誤,並已接受該報告是合法的。該公司正在開發一個補丁,我們很可能會在即將釋出的微軟十月(週二)補丁中看到它。
披露時間表:
- 05/08/18 - ZDI報告了供應商的漏洞,該供應商當天承認
- 05/14/18 - 供應商回覆稱他們成功複製了ZDI報導的問題
- 09/09/18 - 供應商報告了修復程式的問題,修復程式可能不會發布9月釋出
- 09/10/18 - ZDI警告潛在的0-day
- 09/11/18 - 供應商確認修復程式沒有進行構建
- 09/12/18 - ZDI向供應商確認了在09/20/18 0-day的意向
- 09/20/18 - 協調公開發布諮詢
參考來源:
- ZDNet
- Zero Day Intiative
- Opatch
- End -
更多資訊閱讀: