资安业者踢爆微软JETDatabaseEngine含有远端程式攻击的零时差漏洞

趋势科技旗下的Zero Day Initiative（ZDI）周一（9/24）踢爆了一个隐藏在微软JET Database Engine中的越界写入（out of bounds write）漏洞，成功的开采将允许骇客自远端执行任意程式，虽然微软已在今年5月得知该漏洞，但在ZDI所提供的120天修补限期内并未修补，使它成为一个零时差漏洞。

JET Database Engine是众多微软产品所仰赖的数据库引擎，包括Microsoft Access、Microsoft Excel与Visual Basic等。

根据ZDI研究人员的说明，使用者只要开启一个特制档案，内含储存于JET数据库格式中的资料，就能触发越界写入漏洞，进而让骇客可执行远端程式攻击。

其实微软在今年9月释出的例行性安全更新中已修补了两个JET漏洞，但这两个漏洞皆为缓冲区溢位漏洞，而非ZDI向微软提报的越界写入漏洞。

ZDI是在今年5月8日向微软揭露该漏洞，微软在9月11日时确定无法及时释出更新，超过了ZDI的120天修补期限，使得ZDI决定对外公开。

目前ZDI已释出该漏洞的概念性验证攻击程式，并确定该漏洞存在于Windows 7，同时也相信所有支援JET Database Engine的Windows版本都受到影响，包含服务器版本，在缺乏修补的状态下，ZDI只能建议使用者谨慎行事，不要开启源自不明来源的档案。

目前微软已着手修补该漏洞，可望于今年10月释出更新。