Патч для уязвимости в Microsoft JET Database Engine является неполным
Октябрьское обновление от Microsoft заново открыло уязвимость, закрытую временным микропатчем от Acros Security.
Несмотря на выход соответствующего патча, в СУБД Microsoft JET Database Engine по-прежнему существует критическая уязвимость, позволяющая удаленно выполнить произвольный код в контексте текущего процесса. Уязвимость CVE-2018-8423 была обнаружена и публично раскрыта в рамках программы TrendMicro Zero Day Initiative 20 сентября нынешнего года до того, как Microsoft успела ее исправить. До выхода официального исправления пользователям был доступен временный микропатч, выпущенный Acros Security в течение суток после публикации исследователями TrendMicro PoC-эксплоита. Временное исправление было доступно бесплатно через платформу 0Patch.
На прошлой неделе в рамках «вторника исправлений» Microsoft выпустила официальный патч для CVE-2018-8423. Тем не менее, по словам главы Acros Security Мити Колсека (Mitja Kolsek), решение от Microsoft является неполным и не исправляет уязвимость, а только ограничивает возможности по ее эксплуатации.
Колсек обнаружил неполноценность патча, сравнив его с временным микропатчем, выпущенным Acros Security в сентябре. Acros Security уже сообщила Microsoft о проблеме, и решила пока не раскрывать ее суть широкой общественности.
«Как бы то ни было, мы выпустили исправление для патча Microsoft. По иронии судьбы, октябрьское обновление заново открыло уязвимость CVE-2018-8423 на системах, ранее уже защищенных нашим микропатчем», — сообщил Колсек.