Спецпроекты

ПО Безопасность Техническая защита Бизнес

В Microsoft четыре месяца игнорировали уязвимость в своем продукте

По-видимому, лишь публикация сведений о «баге» сподвигла Microsoft на ускорение работы над патчем для серьезной уязвимости в Jet, механизме баз данных.

Уязвимость в Jet

Сообщество независимых экспертов по информационной безопасности Zero Day Initiative (ZDI) опубликовало сведения об уязвимости в Jet — механизме баз данных Microsoft. По утверждению экспертов ZDI, Microsoft получила информацию об этой уязвимости еще 120 дней назад, но так и не приняла меры.

«Баг» изначально был обнаружен сотрудником организации Trend Micro Security Research. Уязвимость позволяет удаленно запускать произвольный код (конкретнее речь идет о записи за пределами динамической памяти).

Злоумышленник может эксплуатировать «баг» только в том случае, если ему удастся обманом заставить потенциальную жертву открыть специальный файл в формате Jet. Любой внедренный вредоносный код будет запущен только с теми привилегиями, которые на данный момент есть у пользователя, что, конечно, ограничивает возможности злоумышленника.

Существует также вариант, при котором Jet-файл может быть открыт с использованием JavaScript: то есть потенциальную жертву, использующую СУБД, можно заманить на веб-сайт со встроенным модулем JS, запускающим вредоносный код.

microsoft_558.jpg
Microsoft на четыре месяца задержала выход патча


В своем описании в ZDI указывают, что проблема сосредоточена в менеджере индексации Jet. Специальный файл в формате Jet может вызывать «запись за пределами выделенного буфера». Экспериментальный эксплойт, демонстрирующий уязвимость, доступен на ресурсе GitHub.

Уязвимости присутствует в версиях Jet под всеми поддерживаемыми на данный момент версиями Windows.

К октябрю обещали исправить

Члены ZDI утверждают, что корпорация Microsoft получила всю информацию об уязвимости еще в мае, то есть, прошло четыре месяца, прежде чем сведения были обнародованы.

«По всей видимости, в Microsoft решили, что уязвимость слишком малозначима, чтобы тратить на нее ресурсы, — считает Олег Галушкин, директор по информационной безопасности компании SEC Consult Services. — Как только данные о ней выплыли на поверхность информационного поля и привлекли внимание СМИ, работа над патчем, естественно, активизировалась, однако, конечно, отсутствие исправлений в течение четырех месяцев Microsoft в данном случае не красит.

Теперь же представители корпорации заявили, что работают над исправлением, и оно должно будет войти в октябрьский кумулятивный патч для Windows.

Роман Георгиев

Короткая ссылка