Патч Microsoft для JET оказался неполным

15 октября 2018 г., понедельник, 05:56

Пока не вышло исправление, можно воспользоваться микропатчем, созданным командой 0patch из ACROS Security.

В минувший вторник Microsoft выпустила заплатку для бреши нулевого дня в механизме СУБД JET, однако это решение, по свидетельству ACROS Security, не до конца устраняет проблему. Чтобы исправить ситуацию, специалисты создали микропатч, загружаемый на Windows через их платформу 0patch.

Уязвимость out-of-bounds write (CVE-2018-8423), позволяющую захватить контроль над системой, обнаружили участники проекта Zero Day Initiative компании Trend Micro. Детали опасной бреши были обнародованы спустя 135 дней после подачи отчета в Microsoft.

На момент публикации официальной заплатки еще не было (она вышла спустя две недели, в рамках октябрьского «вторника патчей»), поэтому эксперты ACROS сочли нужным выпустить временный микропатч, устанавливаемый бесплатно с помощью программного агента 0patch. Теперь, обнаружив несовершенство решения Microsoft, они создали другой микропатч, вносящий нужные коррективы.

По словам гендиректора ACROS Мити Колсека (Mitja Kolsek), виновником возникновения бреши CVE-2018-8423 являлась динамическая библиотека msrd3x40.dll. «Как и следовало ожидать, обновление содержит модифицированный бинарный код msrd3x40.dll, — пишет эксперт в блоге 0patch. — Наш микропатч полагался на четыре процессорных команды (одна из них — чисто для отчетности), однако теперь версия msrd3x40.dll изменилась с 4.0.9801.0 на 4.0.9801.5, а значит, и хеш. В результате наш микропатч для msrd3x40.dll перестал работать».

Сравнив заплатку Microsoft со своим решением, исследователи обнаружили небольшие различия. Как оказалось, официальный патч лишь ограничивает эксплойт, а не исключает.

Команда 0patch уже уведомила Microsoft о проблеме и ждет исправления, чтобы опубликовать PoC. Новый микропатч ACROS, по словам Колсека, способен восстановить защиту на 32- и 64-битных Windows 7, 8.1 и 10, Windows Server 2008 и 2012, а также других Windows, которые используют ту же версию msrd3x40.dll.

Microsoft на запрос Threatpost о комментарии пока не ответила.

Threatpost

нравится

не нравится

Рейтинг:

Всего голосов: 0

Комментарии

Добавить

Нет комментариев

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA // 08 февраля

Последние новости

19:45		RuStore открыл доступ иностранным разработчикам
17:45		CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs
14:45		Google обещает блюрить непристойные и жестокие картинки поиска
12:45		Бизнес предлагает продавать алкоголь по 2FA
11:45		Исследователь взломал веб-сервис Toyota с внутренними документами
09:45		Дешёвые китайские Android-смартфоны передают слишком много данных владельца
09:45		Почему Tor медленный: неизвестные семь месяцев досят луковую сеть
19:45		Дефектный шифратор Linux-версии Cl0p позволил экспертам создать декриптор
18:45		Для детского билета на футбол теперь нужны ПДн ребенка
16:45		Загрузчик GuLoader использует NSIS-скрипты в атаках на коммерсантов
15:45		НКЦКИ: DDoSом прикрывают более серьезные атаки
14:45		МСофт и Crosstech Solutions Group выводят файловый обмен на новый уровень
13:45		Эксперты оценили идею уголовного срока за утечки
10:45		Поддержка Microsoft Authenticator на Apple Watch прекращена
10:45		Атакующие бэкдорят Windows с помощью тулкита Sliver и техники BYOVD
09:45		Полиция взломала мессенджер Exclu для слежки за киберпреступниками
19:45		В OpenSSH устранили уязвимость грозящую удаленным исполнением кода
19:45		Яндексу не хватает видеокарт Nvidia

Все новости

Добавить комментарий к новости
Ваше имя: *
Сообщение: *

Патч Microsoft для JET оказался неполным

Добавить комментарий к новости