Onopgeloste kwetsbaarheid in Windows duikt op
Een tot nu toe onbekende fout in Windows JET Database Engine brengt Windows in gevaar. Microsoft is op de hoogte maar het zal nog even duren voor er een oplossing komt.
Zero Day Initiative heeft de kwetsbaarheid bekendgemaakt die werd ontdekt door Lucas Leong van Trend Micro Security Research. Het probleem werd al op 8 mei aan Microsoft gemeld en zou 120 dagen later bekend worden gemaakt, maar er is nog geen patch voor.
Het gaat om een out-of-bounds write in de Microsoft JET Database Engine, die onder meer gebruikt wordt door MS Access en Visual Basic. De kwetsbaarheid valt te misbruiken wanneer een slachtoffer een speciaal ontwikkeld Jet-bestand opent. Al kan dat bestand ook worden geopend met behulp van JavaScript wanneer een slachtoffer naar zo’n pagina wordt gelokt. Wel kan een hacker enkel acties uitvoeren binnen de rechten van de gebruiker, wat de impact beperkt als het slachtoffer geen adminrechten heeft.
Zero Day Initiative kon de fout reproduceren op Windows 7 maar het gaat er vanuit dat alle versies van Windows, inclusief Windows Server, kwetsbaar zijn.
Een oplossing voor het probleem is er voorlopig niet, maar volgens The Register wordt er bij Microsoft wel gewerkt aan een oplossing, die zou ten vroegste tijdens Patch Tuesday (de tweede dinsdag van de maand) van oktober plaatsvinden.
Fout opgemerkt of meer nieuws? Meld het hier