Написать пост

Microsoft пренебрегла устранением уязвимости, обнаруженной 4 месяца назад в Jet

Аватар Артем Гаврилов

Специалисты The Zero Day Initiative раскрыли подробности неустранённой уязвимости Microsoft Jet, о которой они сообщили компании в начале мая 2018 года.

Обложка поста Microsoft пренебрегла устранением уязвимости, обнаруженной 4 месяца назад в Jet

Энтузиасты из The Zero Day Initiative (ZDI) рассказали об уязвимости в механизме баз данных Microsoft Jet. Она позволяет использовать эксплойт для выполнения произвольного кода. Опасности подвержены Windows 7, 8.1 и 10, а также Windows Server с версии 2008 по версию 2016. До момента выхода официального патча его выпустили сторонние разработчики компании 0patch.

Брешь в СУБД

Специалисты ZDI заявили, что сообщили Microsoft о проблеме в начале мая 2018 года, и с тех пор корпорация не приняла каких-либо мер. Уязвимость в Jet появляется после открытия пользователем файла с данными формата Jet. После выполнения в контексте текущего процесса оно приводит к записи за пределы буфера.

Microsoft пренебрегла устранением уязвимости, обнаруженной 4 месяца назад в Jet 1

Эксплойт для проверки уязвимости опубликовали на GitHub. Microsoft обещает выпустить официальный патч вместе с очередным обновлением.

В сентябре 2018 года Microsoft уже успела закрыть бреши в нескольких программных продуктах. Например, компания устранила уязвимость нулевого дня в планировщике задач Windows, а также брешь FragmentSmack, позволяющую провести DoS-атаки с целью полной загрузки ЦП.

Следите за новыми постами
Следите за новыми постами по любимым темам
398 открытий398 показов