In Microsofts Jet Engine, die unter Windows in Anwendungen genutzt wird, gibt es eine Zero Day-Schwachstelle. Die Sicherheitslücke ist ungepatcht, allerdings nicht sonderlich kritisch.
Anzeige
Vorab: Der normale Windows-Nutzer kommt mit dieser Schwachstelle eher nicht in Berührung. Die Jet Engine ist eine Datenbankschnittstelle von Microsoft, die in Access, Visual Basic oder auch in anderer Software über die Jet Engine-Datenquellentreiber genutzt werden kann.
Sicherheitslücke nach 120 Tagen publiziert
Die Sicherheitslücke wurde von Trend Micro entdeckt und und in diesem Blog-Beitrag beschrieben. Gleichzeitig wurde die Schwachstelle am 8. Mai 2018 an Microsoft berichtet. Nachdem die 120 Tage Stillhaltefrist abgelaufen ist, ging die betreffende Information diese Woche in die Veröffentlichung.
Die Schwachstelle
Beim Schreiben in eine Datenbank per Microsoft JET-Datenbank-Engine ist eine Out-of-Bounds (OOB)-Operation möglich. Dies könnte zur Ausführung von Remote-Code ausgenutzt werden. Allerdings wird dieser Code nur im Kontext des aktuellen Prozesses ausgeführt werden. Dazu muss der Benutzer jedoch dazu gebracht werden, eine bösartige Datei öffnen. Und die Jet-Engine läuft nur im 32-Bit-Mode. Die Ausnutzbarkeit ist also sehr begrenzt, der Grund, warum Microsoft sich Zeit mit einem Patch lässt.
Konkret scheint die Schwachstelle im Index-Manager der Jet-Engine zu sein. Auf GitHub gibt es ein Proof of Concept (PoC) in Form einer Beispieldatenbank und eines JavaScript-Programms, welches den OLEDB-Provider 4.0 für die Schreibzugriffe nutzt. Mitja Kolsek von 0patch hat auf Twitter etwas dazu gepostet.
Anzeige
A bit about this unpatched remote code execution i Windows Jet Database Engine:
1) First of all, a nice find, @thezdi and @_wmliang_! (Btw, Lucas' Twitter handle in the article – @wmliang – is wrong!)
2) Jet only exists in 32bits, so launching poc.js won't work on 64bit Windows https://t.co/57okiFs7S7
— Mitja Kolsek (@mkolsek) 20. September 2018
Laut Blog-Beitrag wurde die Existenz der Schwachstelle in Windows 7 bestätigt. Die Sicherheitsforscher glauben aber, dass alle noch unterstützten Windows-Versionen anfällig sind. Microsoft arbeitet intern an einem Patch, wann dieser erscheint, ist bisher aber unbekannt. The Register und heise.de haben inzwischen darüber berichtet.
Anzeige
