В Microsoft четыре месяца игнорировали уязвимость в своем продукте
24 сен 2018 10:40 #72260
от ICT
ICT создал тему: В Microsoft четыре месяца игнорировали уязвимость в своем продукте
Уязвимость в Jet Сообщество независимых экспертов поинформационной безопасности Zero Day Initiative (ZDI) опубликовало сведения об уязвимости в Jet — механизме баз данных Microsoft. По утверждениюэкспертов ZDI, Microsoft получила информацию об этой уязвимости еще 120 дней назад, но так и неприняла меры. «Баг» изначально был обнаруженсотрудником организации Trend Micro Security Research. Уязвимость позволяет удаленно запускать произвольныйкод (конкретнее речь идет о записи за пределами динамической памяти). Злоумышленник может эксплуатировать «баг» только в том случае, еслиему удастся обманом заставить потенциальную жертву открыть специальный файл вформате Jet. Любой внедренный вредоносный код будетзапущен только с теми привилегиями, которые на данный момент есть упользователя, что, конечно, ограничивает возможности злоумышленника. Существует также вариант, при котором Jet-файлможет быть открыт с использованием JavaScript: то есть потенциальную жертву,использующую СУБД, можно заманить на веб-сайт со встроенным модулем JS,запускающим вредоносный код.
Microsoft на четыре месяца задержала выход патча
В своем описании в ZDI указывают, что проблема сосредоточена вменеджере индексации Jet. Специальный файл в формате Jet может вызывать «запись за пределами выделенногобуфера».Экспериментальный эксплойт, демонстрирующий уязвимость, доступен на ресурсе GitHub. Уязвимости присутствует в версиях Jet подвсеми поддерживаемыми на данный момент версиями Windows. К октябрюобещали исправить Члены ZDI утверждают, что корпорация Microsoftполучила всю информацию об уязвимости еще в мае, то есть, прошло четыре месяца, прежде чем сведения были обнародованы. «Повсей видимости, в Microsoft решили, что уязвимость слишком малозначима, чтобытратить на неересурсы, —считает Олег Галушкин, директор поинформационной безопасности компании SEC Consult Services. — Как только данные о ней выплыли на поверхность информационногополя и привлекливнимание СМИ, работа над патчем, естественно, активизировалась, однако,конечно, отсутствие исправлений в течение четырех месяцев Microsoft в данном случае не красит. Теперь же представители корпорации заявили,что работают над исправлением, и оно должно будет войти в октябрьскийкумулятивный патч для Windows. Ссылка на источник
В своем описании в ZDI указывают, что проблема сосредоточена вменеджере индексации Jet. Специальный файл в формате Jet может вызывать «запись за пределами выделенногобуфера».Экспериментальный эксплойт, демонстрирующий уязвимость, доступен на ресурсе GitHub. Уязвимости присутствует в версиях Jet подвсеми поддерживаемыми на данный момент версиями Windows. К октябрюобещали исправить Члены ZDI утверждают, что корпорация Microsoftполучила всю информацию об уязвимости еще в мае, то есть, прошло четыре месяца, прежде чем сведения были обнародованы. «Повсей видимости, в Microsoft решили, что уязвимость слишком малозначима, чтобытратить на неересурсы, —считает Олег Галушкин, директор поинформационной безопасности компании SEC Consult Services. — Как только данные о ней выплыли на поверхность информационногополя и привлекливнимание СМИ, работа над патчем, естественно, активизировалась, однако,конечно, отсутствие исправлений в течение четырех месяцев Microsoft в данном случае не красит. Теперь же представители корпорации заявили,что работают над исправлением, и оно должно будет войти в октябрьскийкумулятивный патч для Windows. Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.