谷歌公开披露尚未修补的微软 Jet 数据库引擎 RCE 漏洞

Google Project Zero 安全团队9月20日公开披露了一个影响 Microsoft Jet 数据库引擎的远程执行代码漏洞。该漏洞被认为会影响所有支持的 Windows 版本(包括服务器版本),且截至本文发布时,尚未完成修补。Google 团队表示他们已遵循其披露流程,Microsoft 已经超过了 120 天的漏洞披露限制日期。

该漏洞属于越界(OOB)写入漏洞,可通过 OLEDB 打开 Jet 数据源来触发:

安全研究人员称,Jet 数据库引擎中的索引管理存在缺陷。如果被利用,可能导致在当前用户的上下文中远程执行代码。不过,触发漏洞的前提是,用户需要打开包含 Jet 数据库信息的恶意文件。

据悉,Google 于5月8日向 Microsoft 报告了此漏洞,Microsoft 也在最新的补丁中解决了影响 Jet 的两个独立的缓冲区溢出漏洞,但是针对该漏洞的修复程序并未发布。

*来源:开源中国

更多资讯

◈ Twitter修补一漏洞 或造成数百万用户私密消息泄露

http://t.cn/EPZsnQZ

◈广东摧毁多个黑客团伙:盗论文查重账号 售查重结论

http://t.cn/EPwvLeC

◈法国开源安全操作系统 CLIP OS

http://t.cn/EPwvMWE

◈浙江超70%网民个人信息被泄漏 警方通报三大犯罪特点

http://t.cn/EPwvnye

(信息来源于网络,安华金和搜集整理)

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180923B0FXIU00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券