Ο Lucas Leong, ένας ερευνητής ασφαλείας της Trend Micro Security, έδωσε στη δημοσιότητα μια νέα zero-day ευπάθεια στο λειτουργικό σύστημα της Microsoft η οποία επηρεάζει όλες τις εκδόσεις, ακόμα και εκείνες που τρέχουν σε servers. Ο ερευνητής είχε ενημερώσει την εταιρία εδώ και 120 ημέρες – χρονικό διάστημα που αποτελεί το μέγιστο στο οποίο η Microsoft θα έπρεπε να διορθώσει την ατέλεια – αλλά η αμερικάνικη εταιρεία δεν έκανε καμία κίνηση στο συγκεκριμένο διάστημα.
Η ευπάθεια εντοπίζεται στην Jet Database Engine και θεωρητικά επιτρέπει στον οποιοδήποτε να εκτελέσει κώδικα στο ευπαθές σύστημα. Το παραπάνω σύστημα βάσεων δεδομένων εντοπίζεται σχεδόν σε όλα τα προϊόντα της Microsoft συμπεριλαμβανομένων των Microsoft Access και της Visual Basic.
Σύμφωνα με την τεχνική αναφορά, η ευπάθεια δημιουργείται καθώς υπάρχει ένας λάθος χειρισμός με την διευθέτηση των δεικτών στη JET που αν εκμεταλλευθεί σωστά μπορεί να επιτρέψει σε κάποιον να “γράψει” εκτός των ορίων της μνήμης που τίθενται από την JET.
Για να μπορέσει κανείς να εκμεταλλευτεί την προκείμενη ευπάθεια πρέπει με κάποιον τρόπο να κάνει το χρήστη να ανοίξει ένα ειδικά διαμορφωμένο αρχείο JET το οποίο θα επιτρέψει την εκτέλεση απομακρυσμένου κώδικα.
Η Microsoft φέρεται να ετοιμάζει ένα patch – έστω και με καθυστέρηση τεσσάρων μηνών – το οποίο θα διορθώσει το συγκεκριμένο bug. Αναμένεται να έρθει στην αναβάθμιση του Οκτωβρίου.
Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.
