在120天的披露限制通过后,趋势科技的Zero Day Initiative(ZDI)发布了有关微软JET数据库引擎中尚未修补的零日漏洞的详细信息。
正如ZDI所解释的那样,Microsoft Windows Jet数据库引擎中发现的零日漏洞可能允许攻击者在任何易受攻击的软件安装上远程执行代码。
研究团队发现的缺陷存在于JET数据库引擎的索引管理中,并且线程参与者可以通过特制的JET数据库文件来利用它,该文件旨在激发远程写入导致远程执行代码。
幸运的是,在没有用户交互的情况下,攻击者无法利用漏洞,因为成功的攻击需要以恶意数据库文件为起点,而这是坏参与者无法自动化的事情。
微软此前已在9月修补了两个缓冲区溢出漏洞(即CVE-2018-8392和CVE-2018-8393),但尚未针对ZDI发现的远程代码执行漏洞引入补丁。
在120天的披露时间表到期后,该漏洞已被公开披露
趋势科技的Zero Day Initiative最初在5月8日报告了零日RCE漏洞并得到了回复,确认微软已于5月14日成功复制了该问题。
然而,由于内部问题,微软推迟了补丁,并且在ZDI在9月10日提醒他们漏洞的零日潜力后,安全研究团队在9月20日公开发布了一份咨询报告。
“我们的调查已经证实Windows 7中存在此漏洞,但我们认为所有受支持的Windows版本都受到此错误的影响,包括服务器版本,”ZDI的Simon Zuckerbraun表示。
作为缓解建议,趋势科技建议可能受影响的所有用户仅使用从受信任来源收到的文件。
ZDI还提到微软正在开发一个补丁来解决这个问题,该补丁可以包含在Redmond的10月补丁版本中。