谷歌披露 微軟 Jet 資料庫引擎 RCE 漏洞,尚未修補

Editor發表於2018-09-23

Google Project Zero 安全團隊9月20日公開披露了一個影響 Microsoft Jet 資料庫引擎的遠端執行程式碼漏洞。該漏洞被認為會影響所有支援的 Windows 版本(包括伺服器版本),截至9月20日,這個bug仍未修補。


Google 團隊表示他們已遵循其披露流程,ZDI(Zero Day Initiative) 在通知供應商嚴重安全問題後執行設定的時間限制,該組織允許120天在公開披露之前解決漏洞,微軟已經超過了這個截止日期。

谷歌披露 微軟 Jet 資料庫引擎 RCE 漏洞,尚未修補


此問題的根本原因在於Microsoft JET資料庫引擎。微軟在九月補丁週二更新中修補了JET中的另外兩個問題。雖然修補的錯誤被列為緩衝區溢位,但這個額外的錯誤實際上是一個越界寫入,可以通過OLEDB開啟Jet資料來源來觸發。以下是產生的崩潰:

谷歌披露 微軟 Jet 資料庫引擎 RCE 漏洞,尚未修補

(圖片來自:ZDI)


安全研究人員稱,Jet資料庫引擎中的索引管理存在特定缺陷。資料庫檔案中精心設計的資料可以觸發超出分配緩衝區末尾的寫入。


如果被利用,安全漏洞可能導致在當前使用者的上下文中遠端執行程式碼。


但是,此漏洞的優點在於,為了觸發漏洞利用,需要通過開啟包含Jet資料庫資訊的精心製作的惡意檔案來進行使用者互動。


在公開披露安全漏洞之後,0patch{Microscopic cures for big security holes. 0patch (pronounced 'zero patch')}承諾提供適用於Windows 7版本的微調。


谷歌披露 微軟 Jet 資料庫引擎 RCE 漏洞,尚未修補

(圖為Opatch9月20日推文)



谷歌披露 微軟 Jet 資料庫引擎 RCE 漏洞,尚未修補

(圖為Opatch9月21日推文)


“我們很高興地宣佈@thezdi昨天(9月20日)公佈的Jet Engine Out-Of-Bounds Write漏洞的兩個免費微型計劃的普遍可用性。這些微型版適用於完全更新的32位和64位: -  Windows 10  -  Windows 8.1  -  Windows 7  -  Windows Server 2008-2016” 


概念驗證(PoC)程式碼已在GitHub上公開,連結:https://github.com/thezdi/PoC/tree/master/ZDI-18-1075


Google 於5月8日向 Microsoft 報告了此漏洞。雖然微軟在最新的微軟補丁星期二更新中解決了影響Jet的兩個獨立的緩衝區溢位漏洞,但是這個漏洞的修復程式並沒有釋出。


雷德蒙德巨人已設法複製該錯誤,並已接受該報告是合法的。該公司正在開發一個補丁,我們很可能會在即將釋出的微軟十月(週二)補丁中看到它。



披露時間表:

  • 05/08/18  -  ZDI報告了供應商的漏洞,該供應商當天承認
  • 05/14/18  - 供應商回覆稱他們成功複製了ZDI報導的問題
  • 09/09/18  - 供應商報告了修復程式的問題,修復程式可能不會發布9月釋出
  • 09/10/18  -  ZDI警告潛在的0-day
  • 09/11/18  - 供應商確認修復程式沒有進行構建
  • 09/12/18  -  ZDI向供應商確認了在09/20/18 0-day的意向
  • 09/20/18  - 協調公開發布諮詢



參考來源:

  • ZDNet
  • Zero Day Intiative
  • Opatch


- End -




更多資訊閱讀:

相關文章