Windows: Zero-Day-Lücke in Microsoft Jet Engine

  • Allgemein

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Windows: Zero-Day-Lücke in Microsoft Jet Engine

    Sicherheitsforscher warnen vor einer bislang ungepatchten Sicherheitslücke in Microsoft Jet Engine. Die Windows-Lücke gilt nicht als kritisch.

    Wer unter Windows Microsoft Joint Engine Technology (Jet Engine) nutzt, sollte keinesfalls Datenbanken aus unbekannten Quellen öffnen. In Jet Engine klafft eine Sicherheitslücke, über die Angreifer Schadcode auf verwundbare Windows-PCs schieben und ausführen könnten. Davon sollen alle Windows-Versionen bedroht sein. Jet Engine kommt beispielsweise in einigen Versionen von Microsoft Access und Visual Basic zum Einsatz, Sicherheitsforscher von Trend Micro haben Microsoft eigenen Angaben zufolge vor mehr als vier Monaten von der Lücke unterrichtet – bislang gibt es noch keinen Sicherheitspatch. Nun haben sie einen Blogbeitrag mit Details zu der Schwachstelle veröffentlicht. Es ist davon auszugehen, dass Microsoft am kommenden Patchday im Oktober ein entsprechendes Sicherheitsupdate veröffentlicht. Microsofts Patchday findet monatlich an jedem zweiten Dienstag statt.

    Bedrohungsgrad nicht kritisch
    Angreifer sollen die Lücke aus der Ferne zum Ausführen von Schadcode ausnutzen können. In einem derartigen Fall gilt ein Computer in der Regel als kompromittiert. Die Lücke ist aber nur mit dem CVSS Score 6.8 von maximal 10 eingestuft und gilt somit nicht als kritisch.
    Das rührt daher, dass ein Opfer eine von einem Angreifer präparierte Datenbank öffnen muss, damit ein Angriff erfolgreich ist. Das kann lokal erfolgen – Trend Micro zufolge reicht aber auch der Besuch einer mit einem derartigen Dokument ausgestatteten Webseite aus. Anschließend kommt es zu einem Speicherfehler (out-of-bounds).

    Proof-of-Concept-Code ist bereits auf Github verfügbar. Der Sicherheitsforscher Mitja Kolsek hat diesen erfolgreich ausprobiert und listet auf Twitter seine Erkenntnisse auf. Beispielsweise konnte er den Speicherfehler nicht über den Besuch einer präparierten Webseite auslösen.

    Quelle: Windows: Zero-Day-Lücke in Microsoft Jet Engine |
    heise Security