Le chercheur Lucas Leong, de chez Trend Micro Security Research, a rendu publique une faille 0-day valable pour toutes les versions de Windows en cours de support, dont les 7, 8.1 et 10.
La brèche réside dans la manière dont le moteur de base de données JET Database Engine gère les index. Exploitée, elle permet au processus d’écrire dans une autre zone mémoire, donc une exécution de code arbitraire. Elle peut se faire à distance si le pirate réussit à faire ouvrir une base de JET.
La vulnérabilité avait été signalée le 8 mai à Microsoft, qui a confirmé son existence six jours plus tard. L’éditeur n’ayant pas apporté de correctif dans les 120 jours impartis, la Zero Day Initiative a publié un bulletin d’information.
De son côté, Trend Micro Security a fourni les détails de la faille, accompagnés d’un prototype d’exploitation sur GitHub.
Microsoft travaille bien à colmater la brèche, mais il faudra attendre maintenant le Patch Tuesday du 9 octobre comme prochaine rampe de lancement. À moins que l’entreprise estime la situation urgente, mais le calendrier ne plaide pas pour cette hypothèse.
Commentaires (12)
#1
Je trouve toujours aussi couillon de voir une faille 0-day divulguée alors que le correctif est sur le lancement.
En quoi ça aurait dérangé d’attendre 15j de plus la publication planifiée du correctif ?
Qu’on en arrive à publier une faille lorsque l’éditeur fait la sourde oreille, ok, mais là…
#2
#3
ça fait peut-être 3 mois que MS lui dit que ça sera pour le prochain patch Tuesday…
#4
#5
ça n’en rend pas moins la faille dangereuse
#6
#7
Le moteur Jet, c’est bien le moteur qui n’existe qu’en version 32 bits et qu’il faut installer pour faire marcher de très vieux bouzins?
Vu que MS ne le porte pas en x64, je pense qu’ils ont perdu les sources en fait :)
#8
#9
Je pense que tu n’as pas compris le sens de la remarque.
Qu’apporte donc la divulgation de la faille (concept et protocole pour réaliser l’attaque) sans un correctif ?
Rien à part une exposition énorme.
En quoi attendre la divulgation empeche la livraison du correctif ?
#10
C’est désespérant ce dialogue de sourd.
Il a bien attendu 120 jours .
Il n’y aura peut-être pas de correctif = il faut utiliser un autre logiciel (respectant peut-être plus ses clients).
L’obfuscation n’est pas une sécurité.
#11
#12
Je ne connaissais pas l’historique. Merci pour l’éclairage.