Виммельбух, 3, перетяжка
Виммельбух, 3, перетяжка
Виммельбух, 3, перетяжка

Уязвимость в Microsoft JET исправили не полностью

Новости

Microsoft исправила баг в СУБД Microsoft Jet Database Engine не до конца, сообщили специалисты Acros Security и выпустили собственное обновление.

406 открытий409 показов
Уязвимость в Microsoft JET исправили не полностью

В сентябре 2018 года специалисты Trend Micro Zero Day Initiative рассказали об уязвимости в составе СУБД Microsoft Jet Database Engine, которая затрагивала все актуальные версии ОС. Тогда проблему решили за счёт неофициального патча, а затем, в рамках «вторника обновлений», выпустили и официальный. Но специалисты Acros Security утверждают, что его эффективность не слишком высока.

Что известно?

Баг в Microsoft Jet Database Engine затрагивает Windows 10, Windows 8.1, Windows 7 и все версии Windows Server от 2008 до 2016. Он позволял произвольное выполнение кода в контексте пользователя, хотя для этого и надо было открыть специально сформированный файл. При этом формат Jet используют разные приложения, так что подобный файл можно было «подсунуть» и программе. Тогда код можно было выполнить на уровне её текущего процесса. При этом в Microsoft игнорировали проблему несколько месяцев.

До релиза официального патча свою «заплатку» выпустили специалисты Acros Security в составе продукта 0patch. CEO Acros Security Митя Колсек (Mitja Kolsek) уточнил, что исправление от Microsoft всё ещё позволяет использовать брешь, но не раскрыл подробностей. По его словам, в корпорации уже знают о проблеме.

А это опасно?

Судя под информации Microsoft, на данный момент хакеры не эксплуатируют эту уязвимость. Также в компании заявили, что создать соответствующий эксплойт довольно сложно.

Неделю назад специалисты Microsoft устранили критическую уязвимость Git, которая затрагивала macOS и Linux, а также подсистему Linux в Windows 10.

Следите за новыми постами
Следите за новыми постами по любимым темам
406 открытий409 показов