oPatch社区发布了微软JET数据库0day补丁

  • A+
所属分类:网络安全新闻
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

oPatch社区发布了微软JET数据库0day补丁

0patch社区发布了趋势科技Zero Day Initiative披露的Microsoft JET数据库引擎零日漏洞的非官方补丁
来自0patch的专家,旨在解决软件缺陷的专家社区,发布了针对微软JET数据库引擎零日漏洞的非正式补丁,趋势科技的Zero Day Initiative(ZDI)上周披露了这一漏洞。

Microsoft JET数据库引擎缺陷是JET数据库引擎中的越界(OOB)写入,远程攻击者可利用该写入在易受攻击的系统上执行任意代码。

零日漏洞已获得6.8的CVSS评分,并且属于JET中的索引管理。攻击者可以在数据库文件中使用特制数据来触发超出分配缓冲区末尾的写入。

根据ZDI的披露政策,有关漏洞的详细信息可能会在供应商收到有关该问题的通知后120天发布,即使该漏洞仍未修补。

ZDI还发布了 漏洞概念验证(PoC)漏洞利用代码 。

众所周知,0patch社区开发的小补丁通常不到30个字节,它在公开披露问题后的24小时内发布了补丁。

0patch专家能够在不到24小时内为零日设计安全补丁。

来自0patch的专家强调,ZDI发布的PoC代码仅适用于32位系统,相反,它会在64位系统上引发错误消息,除非使用wscript.exe启动。

触发问题的条件代表了专家分析的起点,即最接近的可观察失败点。

通常,我们从最接近的可观察失败点开始我们的分析,并向弱势代码反向工作。理想情况下,最接近的可观察失败点是进程崩溃,在这种情况下,由于尝试写入已分配的内存块,ZDI的PoC确实会导致wscript.exe崩溃。所以他们的PoC对我们来说是完美的。阅读0patch专家的分析。

(毫不奇怪,我们使用崩溃案例比使用完整的计算弹出漏洞更容易。)以下是WinDbg中崩溃的样子,启用了页面堆,并在函数TblPage :: CreateIndexes中无效的内存访问:

在ZDI与Windows Microsoft JET数据库引擎零日共享PoC后7小时,0patch发布了针对Windows 7的微补丁。

然后专家们试图将补丁移植到其他受支持的Windows版本,他们注意到几乎所有版本都有完全相同版本的msrd3x40.dll,这种情况表明他们相同的微调将适用于所有这些系统。

专家指出,只有一个Windows版本利用了不同的msrd3x40.dll,它是Windows 10。

唯一具有不同msrd3x40.dll的Windows版本是Windows 10:特别是,两个DLL具有相同的版本和完全相同的大小,但两者之间存在很大的差异(包括链接时间戳)。虽然代码完全相同并且在同一个地方(可能只是重新构建),所以我们实际上可以使用完全相同的微代码源代码,只是一个不同的文件哈希。继续分析。

在公开披露该漏洞的技术细节后不到24小时内发布了Windows 0day的两个微补丁。

0day发布后不到24小时就发布了这两个已发布的0day微片,并在60分钟内分发给我们用户的计算机,在那里它们被自动应用于任何运行过程中加载了易受攻击的msrd3x40.dll。在修复漏洞方面,它很好地展示了微定位的速度,简单性和用户友好性。继续分析。

想要获得微补丁的用户只需要安装并注册0patch Agent,无论如何强烈建议在微软发布时安装微软的官方更新。

CE安全网

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: