MicrosoftのJETデータベースエンジンにゼロデイ脆弱性

MicrosoftのJETデータベースエンジンで発見されたゼロデイ脆弱性をZero Day Initiative(ZDI)が公表した(ZDIのブログ記事、アドバイザリー、Softpediaの記事、The Registerの記事)。

この脆弱性はJETデータベースエンジンのインデックス管理機能に存在する境界外書き込みの脆弱性で、現在のユーザーの権限でリモートからのコード実行が可能になるというもの。攻撃者は細工したデータを含むJETデータベース形式のファイルをOLEDB経由で開かせることで、脆弱性を悪用できる。ZDIはWindows 7で脆弱性を確認しているが、現在サポートされるすべてのWindowsバージョンに影響すると考えているそうだ。

ZDIは5月8日、この脆弱性をJETデータベースエンジンの他の脆弱性2件とともにMicrosoftへ報告。他2件は9月の月例更新で修正されている。しかし、この脆弱性に関しては修正版で問題が見つかったため、9月の月例更新には含めないとMicrosoftがZDIに連絡してきたという。この時点でZDIの公表期限120日を過ぎており、ゼロデイになる可能性をMicrosoftに伝えたが、Microsoftが今月はパッチをリリースしないと明言したため、事前に公表日を通知したうえで20日に公表したとのことだ。

　スラドのコメントを読む | セキュリティセクション | マイクロソフト | セキュリティ | バグ | Windows

　関連ストーリー：
Windowsのタスクスケジューラのゼロデイ脆弱性、攻撃が確認される 2018年09月08日
Windowsのタスクスケジューラのゼロデイ脆弱性が公表される 2018年08月30日
Epic Games、Googleのバグ開示方針を批判 2018年08月30日