Lucas Leong van het Trend Micro Security Research team heeft een bug gevonden in Microsoft's Jet Database Engine, een databasesysteem dat gebruikt wordt in onder andere Microsoft Access en Visual Basic. Een kwaadwillende zou een out-of-bounds write kunnen maken naar de database, wat resulteert in de mogelijkheid om code van op afstand uit te voeren.

Dit zou te maken hebben met een fout in het beheer van de indexen van de database. Microsoft patchte onlangs twee bugs in de Jet-engine, die beiden aangeduid staan als een buffer overflow, maar bovenstaande bug werd nog niet aangenomen. Leong meldde de bug 8 mei al aan Microsoft, maar de vier maanden die The Zero Day Initiative biedt om een bug op te lossen zijn ondertussen verstreken.

Gebruikers wordt aangeraden om op te passen met onbekende bestanden, tot Microsoft de bug oplost. Een proof-of-concept is te vinden op de Github-pagina van ZDI.

Windows Crash

Reacties mogelijk gemaakt door CComment