谷歌披露 微軟 Jet 資料庫引擎 RCE 漏洞，尚未修補

Google Project Zero 安全團隊9月20日公開披露了一個影響 Microsoft Jet 資料庫引擎的遠端執行程式碼漏洞。該漏洞被認為會影響所有支援的 Windows 版本（包括伺服器版本），截至9月20日，這個bug仍未修補。

Google 團隊表示他們已遵循其披露流程，ZDI（Zero Day Initiative) 在通知供應商嚴重安全問題後執行設定的時間限制，該組織允許120天在公開披露之前解決漏洞，微軟已經超過了這個截止日期。

此問題的根本原因在於Microsoft JET資料庫引擎。微軟在九月補丁週二更新中修補了JET中的另外兩個問題。雖然修補的錯誤被列為緩衝區溢位，但這個額外的錯誤實際上是一個越界寫入，可以通過OLEDB開啟Jet資料來源來觸發。以下是產生的崩潰：

（圖片來自：ZDI）

安全研究人員稱，Jet資料庫引擎中的索引管理存在特定缺陷。資料庫檔案中精心設計的資料可以觸發超出分配緩衝區末尾的寫入。

如果被利用，安全漏洞可能導致在當前使用者的上下文中遠端執行程式碼。

但是，此漏洞的優點在於，為了觸發漏洞利用，需要通過開啟包含Jet資料庫資訊的精心製作的惡意檔案來進行使用者互動。

在公開披露安全漏洞之後，0patch{Microscopic cures for big security holes. 0patch (pronounced 'zero patch')}承諾提供適用於Windows 7版本的微調。

（圖為Opatch9月20日推文）

（圖為Opatch9月21日推文）

“我們很高興地宣佈@thezdi昨天（9月20日）公佈的Jet Engine Out-Of-Bounds Write漏洞的兩個免費微型計劃的普遍可用性。這些微型版適用於完全更新的32位和64位： -  Windows 10  -  Windows 8.1  -  Windows 7  -  Windows Server 2008-2016” 

概念驗證（PoC）程式碼已在GitHub上公開，連結：https://github.com/thezdi/PoC/tree/master/ZDI-18-1075

Google 於5月8日向 Microsoft 報告了此漏洞。雖然微軟在最新的微軟補丁星期二更新中解決了影響Jet的兩個獨立的緩衝區溢位漏洞，但是這個漏洞的修復程式並沒有釋出。

雷德蒙德巨人已設法複製該錯誤，並已接受該報告是合法的。該公司正在開發一個補丁，我們很可能會在即將釋出的微軟十月（週二）補丁中看到它。

披露時間表：

• 05/08/18  -  ZDI報告了供應商的漏洞，該供應商當天承認
  
• 05/14/18  - 供應商回覆稱他們成功複製了ZDI報導的問題
  
• 09/09/18  - 供應商報告了修復程式的問題，修復程式可能不會發布9月釋出
  
• 09/10/18  -  ZDI警告潛在的0-day
  
• 09/11/18  - 供應商確認修復程式沒有進行構建
  
• 09/12/18  -  ZDI向供應商確認了在09/20/18 0-day的意向
  
• 09/20/18  - 協調公開發布諮詢