Написать пост

Microsoft пренебрегла устранением уязвимости, обнаруженной 4 месяца назад в Jet

Новости Отредактировано

Специалисты The Zero Day Initiative раскрыли подробности неустранённой уязвимости Microsoft Jet, о которой они сообщили компании в начале мая 2018 года.

399 открытий402 показов
Microsoft пренебрегла устранением уязвимости, обнаруженной 4 месяца назад в Jet

Энтузиасты из The Zero Day Initiative (ZDI) рассказали об уязвимости в механизме баз данных Microsoft Jet. Она позволяет использовать эксплойт для выполнения произвольного кода. Опасности подвержены Windows 7, 8.1 и 10, а также Windows Server с версии 2008 по версию 2016. До момента выхода официального патча его выпустили сторонние разработчики компании 0patch.

Брешь в СУБД

Специалисты ZDI заявили, что сообщили Microsoft о проблеме в начале мая 2018 года, и с тех пор корпорация не приняла каких-либо мер. Уязвимость в Jet появляется после открытия пользователем файла с данными формата Jet. После выполнения в контексте текущего процесса оно приводит к записи за пределы буфера.

Microsoft пренебрегла устранением уязвимости, обнаруженной 4 месяца назад в Jet 1

Эксплойт для проверки уязвимости опубликовали на GitHub. Microsoft обещает выпустить официальный патч вместе с очередным обновлением.

В сентябре 2018 года Microsoft уже успела закрыть бреши в нескольких программных продуктах. Например, компания устранила уязвимость нулевого дня в планировщике задач Windows, а также брешь FragmentSmack, позволяющую провести DoS-атаки с целью полной загрузки ЦП.

Следите за новыми постами
Следите за новыми постами по любимым темам
399 открытий402 показов
Также рекомендуем
Исследование: у ИБ-специалистов обычно меньше недели на установку апдейтов
Исследование: у ИБ-специалистов обычно меньше недели на установку апдейтов
Исследование Positive Technologies выявило, что ИБ-специалисты имеют менее недели на установку апдейтов. Вирусы и хакеры активно эксплуатируют уязвимости в WinRAR, Fortinet и Spring Framework. Эксперты рекомендуют инвентаризацию активов и системы управления уязвимостями для защиты IT-компаний.
В macOS появилась уязвимость. Виновата во всем Microsoft
В macOS появилась уязвимость. Виновата во всем Microsoft
Исследователи обнаружили уязвимости в приложениях Microsoft для macOS, позволяющие злоумышленникам похищать данные и получать несанкционированный доступ к системным ресурсам. Проблема связана с загрузкой неподписанных библиотек в таких приложениях, как Word и Teams.
Код свободный — используйте кто хотите? Лицензии опенсорсных зависимостей в проприетарной разработке
Код свободный — используйте кто хотите? Лицензии опенсорсных зависимостей в проприетарной разработке
Узнайте, как правильно использовать опенсорсные зависимости в проприетарной разработке, избегая лицензионных рисков. Понимание различий между пермиссивными и копилефтными лицензиями поможет сохранить юридическую безопасность вашего проекта.
«Касперский» нашел в iOS дыру на $1 млн. Apple отказалась выплатить выигрыш
«Касперский» нашел в iOS дыру на $1 млн. Apple отказалась выплатить выигрыш
«Лаборатория Касперского» еще в 2023 году нашла серьезную уязвимость в iOS, за которую должна была получить $1 млн. Но Apple отказалась переводить деньги даже на благотворительность