IT業界資訊媒體

【角逐漏洞王】Windows 又又又出現零日漏洞

進入 2018 年最後 100 日倒數,今年嘅漏洞王爭霸戰黎到最後階段,各大網絡公司爭先出 bug,而今年 Microsoft 表現不俗,以幾乎每兩個星期出一次 bug 嘅好表現成功出位,有望登上漏洞王寶座。

Trend Micro 資安專員 Lucas Leong 呢次就發現 Windows 所有版本嘅 Jet Database Engine 都存在漏洞,可以允許黑客遠程操控惡意代碼。

Joint Engine Technology Database Engine,簡稱 JET,係好多 Microsoft 產品都會用嘅數據庫引擎,包括 Microsoft Access Visual Basic

漏洞位於 JET 索引管理功能,只要 user 打開一個特製 JET 文件,就會觸發漏洞,導致越界內存寫入(out-of-bounds memory write),最終引起遠程代碼執行。

研究員表示,該漏洞存在於所有 Windows 支援版本,包括 Windows 10Windows 8.1Windows 7 以及 Windows Server Edition 2008-2016

其實早於今年五月,研究員已經向 Microsoft 報告呢個漏洞。但 Microsoft 唔爭氣,超過 120 日期限都未能修補漏洞,Trend Micro 先至對外公開,並將漏洞嘅 PoCProof-of-concept)擺上 Github page

九月例行性修補已經過去,唯有指望十月 Windows 可以修補呢個漏洞。修補之前大家唔好立亂打開來歷不明嘅文件喇。

資料來源:https://bit.ly/2QPlpvx

相關文章:【PC友小心】Windows 零日漏洞現身 https://bit.ly/2xDTaI3