Nul-dages-sårbarhed frigivet efter 120-dage uden Microsoft-patch

Illustration: Screendump
En nul-dages-sårbarhed mod Microsofts Jet Database-motor er blevet offentliggjort, selvom en officiel patch stadig mangler at blive frigivet.

The Zero Day Initiative (ZDI)har valgt at offentliggøre en sårbarhed mod Microsofts Jet Database-motor, selvom der endnu ikke er frigivet en officiel patch, der kan lukke hullet. Det fortæller The Register.

Forklaringen er, at den tidsfrist på 120 dage, som ZDI har givet Microsoft til at lukke hullet, er blevet overskredet.

Flere arbejder med at give leverandører tidsfrister i forhold til at lukke sårbarheder. Tanken er, at truslen om i sidste ende at offentliggøre sårbarheds-detaljer skal presse leverandører til faktisk at lukke huller, før angribere udnytter dem.

Googles sikkerhedsforetagende Project Zero arbejder med en deadline på 90 dage. Det har blandt andet tidligere resulteret i, at detaljer om en - på det tidspunkt - upatched sårbarhed i Microsofts browsere Internet Explorer og Edge er blevet offentliggjort, før en patch var klar.

Fejlen i Jet Database-motoren blev opdaget af Lucas Leong fra Trend Micro Security Research, og 8. maj i år blev Microsoft gjort opmærksom på problemet. Torsdag i denne uge, efter deadline var overskredet, har ZDI så valgt at offentliggøre detaljerne, som er beskrevet nærmere her.

Fjern-eksekvering af kode

Sårbarheden er umiddelbart af den grimme slags, der muliggør fjern-eksekvering af kode mod et upatched system. Det behøver ikke være så slemt, som det kan lyde, da angrebet har nogle begrænsninger.

The Register oplyser, at sårbarheden kun kan udløses, hvis offeret åbner en særligt udformet Jet-fil. Og derudover bliver kode 'kun' afviklet med de rettigheder brugeren har - og altså ikke eksempelvis med administrator-rettigheder ... med mindre brugerne i organisationen selvfølgeligt kører med administrator-rettigheder som standard.

Den ondsindede fil kan også åbnes via javascript. Så en bruger kan i princippet lokkes til at åbne en hjemmeside, som anvender javascript, der åbner filen.

Udover den eventuelle begrænsning i forhold til brugerrettigheder og -involvering, så kan det også være en hæmsko for en angriber, at Jet-motoren ikke er videre udbredt. Den anvendes ifølge The Register hovedsageligt i forbindelse med Microsoft Access og Visual Basic.

ZDI har lagt proof-of-concept-kode ud på GitHub her.

Microsoft skulle ifølge The Register være på vej med en patch. Desuden har 0patch via Twitter bebudet, at organisationen skulle være på vej med en såkaldt mikropatch.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder