Энтузиасты из The Zero Day Initiative (ZDI) рассказали об уязвимости в механизме баз данных Microsoft Jet. Она позволяет использовать эксплойт для выполнения произвольного кода. Опасности подвержены Windows 7, 8.1 и 10, а также Windows Server с версии 2008 по версию 2016. До момента выхода официального патча его выпустили сторонние разработчики компании 0patch.
Брешь в СУБД
Специалисты ZDI заявили, что сообщили Microsoft о проблеме в начале мая 2018 года, и с тех пор корпорация не приняла каких-либо мер. Уязвимость в Jet появляется после открытия пользователем файла с данными формата Jet. После выполнения в контексте текущего процесса оно приводит к записи за пределы буфера.
Эксплойт для проверки уязвимости опубликовали на GitHub. Microsoft обещает выпустить официальный патч вместе с очередным обновлением.
В сентябре 2018 года Microsoft уже успела закрыть бреши в нескольких программных продуктах. Например, компания устранила уязвимость нулевого дня в планировщике задач Windows, а также брешь FragmentSmack, позволяющую провести DoS-атаки с целью полной загрузки ЦП.
via: Xakep Source: блог The Zero Day Initiative
