谷歌公开披露尚未修补的微软 Jet 数据库引擎 RCE 漏洞

栏目: IT资讯 · 发布时间: 6年前

内容简介:Google Project Zero 安全团队9月20日公开披露了一个影响 Microsoft Jet 数据库引擎的远程执行代码漏洞。该漏洞被认为会影响所有支持的 Windows 版本(包括服务器版本),且截至本文发布时,尚未完成修补。 Goog...

Google Project Zero 安全团队9月20日公开披露了一个影响 Microsoft Jet 数据库引擎的远程执行代码漏洞。该漏洞被认为会影响所有支持的 Windows 版本(包括服务器版本),且截至本文发布时,尚未完成修补。

Google 团队表示他们已遵循其披露流程,Microsoft 已经超过了 120 天的漏洞披露限制日期。

该漏洞属于越界(OOB)写入漏洞,可通过 OLEDB 打开 Jet 数据源来触发:

谷歌公开披露尚未修补的微软 Jet 数据库引擎 RCE 漏洞

安全研究人员称,Jet 数据库引擎中的索引管理存在缺陷。如果被利用,可能导致在当前用户的上下文中远程执行代码。不过,触发漏洞的前提是,用户需要打开包含 Jet 数据库信息的恶意文件。

据悉,Google 于5月8日向 Microsoft 报告了此漏洞,Microsoft 也在最新的补丁中解决了影响 Jet 的两个独立的缓冲区溢出漏洞,但是针对该漏洞的修复程序并未发布。

来自:zdnet  编译:开源中国


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

惡血

惡血

[美] 约翰·凯瑞鲁 / 林锦慧 / 商業周刊 / 2018-9-20 / NT$430

--新創神話!?揭露3000億獨創醫療科技的超完美騙局-- 她被譽為女版賈伯斯、《富比世》全球最年輕的創業女富豪, 如何用「一滴血」顛覆血液檢測、翻轉醫療產業? 一項即將改變你我健康的醫療檢測新科技, 而它的技術來自--謊言! ◎即將改編成電影,由奧斯卡影后珍妮佛‧勞倫斯(Jennifer Lawrence)主演 ◎榮登《紐約時報》、《出版人週刊》暢銷榜 ......一起来看看 《惡血》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具