Новости В Microsoft четыре месяца игнорировали уязвимость в своем продукте

  • Автор темы Собака
  • Дата начала

Собака

Команда форума
Собака Оффлайн

Собака

Команда форума
Регистрация
12/8/18
Сообщения
1,045
Репутация
0
Симпатии
5,339
Депозит
0 руб.
Сделок через гаранта
0
Уязвимость в Jet
Сообщество независимых экспертов по информационной безопасности Zero Day Initiative (ZDI) опубликовало сведения об уязвимости в Jet — механизме баз данных Microsoft. По утверждению экспертов ZDI, Microsoft получила информацию об этой уязвимости еще 120 дней назад, но так и не приняла меры.
«Баг» изначально был обнаружен сотрудником организации Trend Micro Security Research. Уязвимость позволяет удаленно запускать произвольный код (конкретнее речь идет о записи за пределами динамической памяти).
Злоумышленник может эксплуатировать «баг» только в том случае, если ему удастся обманом заставить потенциальную жертву открыть специальный файл в формате Jet. Любой внедренный вредоносный код будет запущен только с теми привилегиями, которые на данный момент есть у пользователя, что, конечно, ограничивает возможности злоумышленника.
Существует также вариант, при котором Jet-файл может быть открыт с использованием JavaScript: то есть потенциальную жертву, использующую СУБД, можно заманить на веб-сайт со встроенным модулем JS, запускающим вредоносный код.

Microsoft на четыре месяца задержала выход патча

В своем описании в ZDI указывают, что проблема сосредоточена в менеджере индексации Jet. Специальный файл в формате Jet может вызывать «запись за пределами выделенного буфера». Экспериментальный эксплойт, демонстрирующий уязвимость, доступен на ресурсе GitHub.
Уязвимости присутствует в версиях Jet под всеми поддерживаемыми на данный момент версиями Windows.
К октябрю обещали исправить
Члены ZDI утверждают, что корпорация Microsoft получила всю информацию об уязвимости еще в мае, то есть, прошло четыре месяца, прежде чем сведения были обнародованы.
«По всей видимости, в Microsoft решили, что уязвимость слишком малозначима, чтобы тратить на нее ресурсы, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Как только данные о ней выплыли на поверхность информационного поля и привлекли внимание СМИ, работа над патчем, естественно, активизировалась, однако, конечно, отсутствие исправлений в течение четырех месяцев Microsoft в данном случае не красит.
Теперь же представители корпорации заявили, что работают над исправлением, и оно должно будет войти в октябрьский кумулятивный патч для Windows.
Подробнее: http://safe.cnews.ru/news/top/2018-09-24_v_microsoft_chetyre_mesyatsa_ignorirovali_uyazvimost
 
Сверху Снизу