- Специальный корреспондент
Уязвимость в Jet
Сообщество независимых экспертов по информационной безопасности Zero Day Initiative (ZDI) опубликовало сведения об уязвимости в Jet — механизме баз данных Microsoft. По утверждению экспертов ZDI, Microsoft получила информацию об этой уязвимости еще 120 дней назад, но так и не приняла меры.
«Баг» изначально был обнаружен сотрудником организации Trend Micro Security Research. Уязвимость позволяет удаленно запускать произвольный код (конкретнее речь идет о записи за пределами динамической памяти).
Злоумышленник может эксплуатировать «баг» только в том случае, если ему удастся обманом заставить потенциальную жертву открыть специальный файл в формате Jet. Любой внедренный вредоносный код будет запущен только с теми привилегиями, которые на данный момент есть у пользователя, что, конечно, ограничивает возможности злоумышленника.
Существует также вариант, при котором Jet-файл может быть открыт с использованием JavaScript: то есть потенциальную жертву, использующую СУБД, можно заманить на веб-сайт со встроенным модулем JS, запускающим вредоносный код.
Microsoft на четыре месяца задержала выход патча
В своем описании в ZDI указывают, что проблема сосредоточена в менеджере индексации Jet. Специальный файл в формате Jet может вызывать «запись за пределами выделенного буфера». Экспериментальный эксплойт, демонстрирующий уязвимость, доступен на ресурсе GitHub.
Уязвимости присутствует в версиях Jet под всеми поддерживаемыми на данный момент версиями Windows.
К октябрю обещали исправить
Члены ZDI утверждают, что корпорация Microsoft получила всю информацию об уязвимости еще в мае, то есть, прошло четыре месяца, прежде чем сведения были обнародованы.
«По всей видимости, в Microsoft решили, что уязвимость слишком малозначима, чтобы тратить на нее ресурсы, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Как только данные о ней выплыли на поверхность информационного поля и привлекли внимание СМИ, работа над патчем, естественно, активизировалась, однако, конечно, отсутствие исправлений в течение четырех месяцев Microsoft в данном случае не красит.
Теперь же представители корпорации заявили, что работают над исправлением, и оно должно будет войти в октябрьский кумулятивный патч для Windows.
Подробнее:
Сообщество независимых экспертов по информационной безопасности Zero Day Initiative (ZDI) опубликовало сведения об уязвимости в Jet — механизме баз данных Microsoft. По утверждению экспертов ZDI, Microsoft получила информацию об этой уязвимости еще 120 дней назад, но так и не приняла меры.
«Баг» изначально был обнаружен сотрудником организации Trend Micro Security Research. Уязвимость позволяет удаленно запускать произвольный код (конкретнее речь идет о записи за пределами динамической памяти).
Злоумышленник может эксплуатировать «баг» только в том случае, если ему удастся обманом заставить потенциальную жертву открыть специальный файл в формате Jet. Любой внедренный вредоносный код будет запущен только с теми привилегиями, которые на данный момент есть у пользователя, что, конечно, ограничивает возможности злоумышленника.
Существует также вариант, при котором Jet-файл может быть открыт с использованием JavaScript: то есть потенциальную жертву, использующую СУБД, можно заманить на веб-сайт со встроенным модулем JS, запускающим вредоносный код.
Microsoft на четыре месяца задержала выход патча
В своем описании в ZDI указывают, что проблема сосредоточена в менеджере индексации Jet. Специальный файл в формате Jet может вызывать «запись за пределами выделенного буфера». Экспериментальный эксплойт, демонстрирующий уязвимость, доступен на ресурсе GitHub.
Уязвимости присутствует в версиях Jet под всеми поддерживаемыми на данный момент версиями Windows.
К октябрю обещали исправить
Члены ZDI утверждают, что корпорация Microsoft получила всю информацию об уязвимости еще в мае, то есть, прошло четыре месяца, прежде чем сведения были обнародованы.
«По всей видимости, в Microsoft решили, что уязвимость слишком малозначима, чтобы тратить на нее ресурсы, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Как только данные о ней выплыли на поверхность информационного поля и привлекли внимание СМИ, работа над патчем, естественно, активизировалась, однако, конечно, отсутствие исправлений в течение четырех месяцев Microsoft в данном случае не красит.
Теперь же представители корпорации заявили, что работают над исправлением, и оно должно будет войти в октябрьский кумулятивный патч для Windows.
Подробнее:
