MicrosoftのJETデータベースエンジンにゼロデイ脆弱性

2018年9月24日 18:12

小

中

大

印刷

記事提供元:スラド

MicrosoftのJETデータベースエンジンで発見されたゼロデイ脆弱性をZero Day Initiative(ZDI)が公表した(ZDIのブログ記事アドバイザリーSoftpediaの記事The Registerの記事)。

この脆弱性はJETデータベースエンジンのインデックス管理機能に存在する境界外書き込みの脆弱性で、現在のユーザーの権限でリモートからのコード実行が可能になるというもの。攻撃者は細工したデータを含むJETデータベース形式のファイルをOLEDB経由で開かせることで、脆弱性を悪用できる。ZDIはWindows 7で脆弱性を確認しているが、現在サポートされるすべてのWindowsバージョンに影響すると考えているそうだ。

ZDIは5月8日、この脆弱性をJETデータベースエンジンの他の脆弱性2件とともにMicrosoftへ報告。他2件は9月の月例更新で修正されている。しかし、この脆弱性に関しては修正版で問題が見つかったため、9月の月例更新には含めないとMicrosoftがZDIに連絡してきたという。この時点でZDIの公表期限120日を過ぎており、ゼロデイになる可能性をMicrosoftに伝えたが、Microsoftが今月はパッチをリリースしないと明言したため、事前に公表日を通知したうえで20日に公表したとのことだ。

 スラドのコメントを読む | セキュリティセクション | マイクロソフト | セキュリティ | バグ | Windows

 関連ストーリー:
Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認される 2018年09月08日
Windowsのタスクスケジューラのゼロデイ脆弱性が公表される 2018年08月30日
Epic Games、Googleのバグ開示方針を批判 2018年08月30日

※この記事はスラドから提供を受けて配信しています。

関連キーワード脆弱性MicrosoftWindows

「セキュリティ・プライバシー」の写真ニュース

IT・サイエンスの最新ニュース

RSS

もっと見る

主要ニュース

RSS

もっと見る

広告

広告

SNSツール

RSS

facebook

zaikeishimbun

いいね!

twitter

@zaikei_it

フォロー

google+

Hatena

広告

ピックアップ 注目ニュース