В Microsoft четыре месяца игнорировали уязвимость в своем продукте

24 сен 2018 10:40 #72260 от ICT
Уязвимость в Jet Сообщество независимых экспертов поинформационной безопасности Zero Day Initiative (ZDI) опубликовало сведения об уязвимости в Jet — механизме баз данных Microsoft. По утверждениюэкспертов ZDI, Microsoft получила информацию об этой уязвимости еще 120 дней назад, но так и неприняла меры. «Баг» изначально был обнаруженсотрудником организации Trend Micro Security Research. Уязвимость позволяет удаленно запускать произвольныйкод (конкретнее речь идет о записи за пределами динамической памяти). Злоумышленник может эксплуатировать «баг» только в том случае, еслиему удастся обманом заставить потенциальную жертву открыть специальный файл вформате Jet. Любой внедренный вредоносный код будетзапущен только с теми привилегиями, которые на данный момент есть упользователя, что, конечно, ограничивает возможности злоумышленника. Существует также вариант, при котором Jet-файлможет быть открыт с использованием JavaScript: то есть потенциальную жертву,использующую СУБД, можно заманить на веб-сайт со встроенным модулем JS,запускающим вредоносный код. Microsoft на четыре месяца задержала выход патча
В своем описании в ZDI указывают, что проблема сосредоточена вменеджере индексации Jet. Специальный файл в формате Jet может вызывать «запись за пределами выделенногобуфера».Экспериментальный эксплойт, демонстрирующий уязвимость, доступен на ресурсе GitHub. Уязвимости присутствует в версиях Jet подвсеми поддерживаемыми на данный момент версиями Windows. К октябрюобещали исправить Члены ZDI утверждают, что корпорация Microsoftполучила всю информацию об уязвимости еще в мае, то есть, прошло четыре месяца, прежде чем сведения были обнародованы. «Повсей видимости, в Microsoft решили, что уязвимость слишком малозначима, чтобытратить на неересурсы, —считает Олег Галушкин, директор поинформационной безопасности компании SEC Consult Services. — Как только данные о ней выплыли на поверхность информационногополя и привлекливнимание СМИ, работа над патчем, естественно, активизировалась, однако,конечно, отсутствие исправлений в течение четырех месяцев Microsoft в данном случае не красит. Теперь же представители корпорации заявили,что работают над исправлением, и оно должно будет войти в октябрьскийкумулятивный патч для Windows. Ссылка на источник


  • Сообщений: 103416

  • Пол: Не указан
  • Дата рождения: Неизвестно
  • Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.

    Похожие статьи

    ТемаРелевантностьДата
    Онлайн-продажи смартфонов в РФ за четыре месяца достигли 27 млрд рублей12.71Понедельник, 10 июня 2019
    В Microsoft Word обнаружена опасная уязвимость10.76Вторник, 11 апреля 2017
    Почта Microsoft три месяца была под властью хакеров10.7Понедельник, 15 апреля 2019
    Microsoft за три месяца не закрыла дыру, позволяющую легко сломать множество ПК и серверов под Windows 1010.26Четверг, 13 июня 2019
    Microsoft «убьет» Windows 8 на четыре года раньше, чем обещала10.26Пятница, 19 апреля 2019
    Microsoft закрыла уязвимость, позволявшую взломать Windows 10 при помощи голосового помощника Cortana10.2Среда, 13 июня 2018
    В Microsoft четыре года проработал интернет-мошенник с нигерийскими корнями10.15Среда, 18 апреля 2018
    Роскомнадзор: Google и Facebook игнорировали многочисленные требования регулятора10.12Пятница, 24 декабря 2021
    "Дыра" в продукте Cisco позволяет получить полный контроль над системой9.64Пятница, 03 июля 2015
    Умный агрегатор Toweco сможет определять достоверность отзывов о продукте при помощи искусственного интеллекта9.35Среда, 17 октября 2018

    Мы в соц. сетях