google project zero 安全团队9月20日公开披露了一个影响 microsoft jet 数据库引擎的远程执行代码漏洞。该漏洞被认为会影响所有支持的 windows 版本(包括服务器版本),且截至本文发布时,尚未完成修补。google 团队表示他们已遵循其披露流程,microsoft 已经超过了 120 天的漏洞披露限制日期。
该漏洞属于越界(oob)写入漏洞,可通过 oledb 打开 jet 数据源来触发:
安全研究人员称,jet 数据库引擎中的索引管理存在缺陷。如果被利用,可能导致在当前用户的上下文中远程执行代码。不过,触发漏洞的前提是,用户需要打开包含 jet 数据库信息的恶意文件。
据悉,google 于5月8日向 microsoft 报告了此漏洞,microsoft 也在最新的补丁中解决了影响 jet 的两个独立的缓冲区溢出漏洞,但是针对该漏洞的修复程序并未发布。
