圖片來源: 

趨勢科技

趨勢科技旗下的Zero Day Initiative(ZDI)周一(9/24)踢爆了一個隱藏在微軟JET Database Engine中的越界寫入(out of bounds write)漏洞,成功的開採將允許駭客自遠端執行任意程式,雖然微軟已在今年5月得知該漏洞,但在ZDI所提供的120天修補限期內並未修補,使它成為一個零時差漏洞。

JET Database Engine是眾多微軟產品所仰賴的資料庫引擎,包括Microsoft Access、Microsoft Excel與Visual Basic等。

根據ZDI研究人員的說明,使用者只要開啟一個特製檔案,內含儲存於JET資料庫格式中的資料,就能觸發越界寫入漏洞,進而讓駭客可執行遠端程式攻擊。

其實微軟在今年9月釋出的例行性安全更新中已修補了兩個JET漏洞,但這兩個漏洞皆為緩衝區溢位漏洞,而非ZDI向微軟提報的越界寫入漏洞。

ZDI是在今年5月8日向微軟揭露該漏洞,微軟在9月11日時確定無法及時釋出更新,超過了ZDI的120天修補期限,使得ZDI決定對外公開。

目前ZDI已釋出該漏洞的概念性驗證攻擊程式,並確定該漏洞存在於Windows 7,同時也相信所有支援JET Database Engine的Windows版本都受到影響,包含伺服器版本,在缺乏修補的狀態下,ZDI只能建議使用者謹慎行事,不要開啟源自不明來源的檔案。

目前微軟已著手修補該漏洞,可望於今年10月釋出更新。

熱門新聞

Advertisement