Nul-dages-sårbarhed frigivet efter 120-dage uden Microsoft-patch

Illustration: Screendump
En nul-dages-sårbarhed mod Microsofts Jet Database-motor er blevet offentliggjort, selvom en officiel patch stadig mangler at blive frigivet.

The Zero Day Initiative (ZDI)har valgt at offentliggøre en sårbarhed mod Microsofts Jet Database-motor, selvom der endnu ikke er frigivet en officiel patch, der kan lukke hullet. Det fortæller The Register.

Forklaringen er, at den tidsfrist på 120 dage, som ZDI har givet Microsoft til at lukke hullet, er blevet overskredet.

Flere arbejder med at give leverandører tidsfrister i forhold til at lukke sårbarheder. Tanken er, at truslen om i sidste ende at offentliggøre sårbarheds-detaljer skal presse leverandører til faktisk at lukke huller, før angribere udnytter dem.

Googles sikkerhedsforetagende Project Zero arbejder med en deadline på 90 dage. Det har blandt andet tidligere resulteret i, at detaljer om en - på det tidspunkt - upatched sårbarhed i Microsofts browsere Internet Explorer og Edge er blevet offentliggjort, før en patch var klar.

Fejlen i Jet Database-motoren blev opdaget af Lucas Leong fra Trend Micro Security Research, og 8. maj i år blev Microsoft gjort opmærksom på problemet. Torsdag i denne uge, efter deadline var overskredet, har ZDI så valgt at offentliggøre detaljerne, som er beskrevet nærmere her.

Fjern-eksekvering af kode

Sårbarheden er umiddelbart af den grimme slags, der muliggør fjern-eksekvering af kode mod et upatched system. Det behøver ikke være så slemt, som det kan lyde, da angrebet har nogle begrænsninger.

The Register oplyser, at sårbarheden kun kan udløses, hvis offeret åbner en særligt udformet Jet-fil. Og derudover bliver kode 'kun' afviklet med de rettigheder brugeren har - og altså ikke eksempelvis med administrator-rettigheder ... med mindre brugerne i organisationen selvfølgeligt kører med administrator-rettigheder som standard.

Den ondsindede fil kan også åbnes via javascript. Så en bruger kan i princippet lokkes til at åbne en hjemmeside, som anvender javascript, der åbner filen.

Udover den eventuelle begrænsning i forhold til brugerrettigheder og -involvering, så kan det også være en hæmsko for en angriber, at Jet-motoren ikke er videre udbredt. Den anvendes ifølge The Register hovedsageligt i forbindelse med Microsoft Access og Visual Basic.

ZDI har lagt proof-of-concept-kode ud på GitHub her.

Microsoft skulle ifølge The Register være på vej med en patch. Desuden har 0patch via Twitter bebudet, at organisationen skulle være på vej med en såkaldt mikropatch.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere