Microsoft: Nuova Vulnerabilità zero-day per tutte le versioni Windows

Un ricercatore di sicurezza ha divulgato pubblicamente una vulnerabilità zero-day senza patch in tutte le versioni supportate del sistema operativo Microsoft Windows (incluse le edizioni server) dopo che la società non è riuscita a correggere un bug divulgato responsabilmente entro la scadenza di 120 giorni.

Scoperta da Lucas Leong del team Trend Micro Security Research, la vulnerabilità zero-day risiede in Microsoft Jet Database Engine che potrebbe consentire a un utente malintenzionato di eseguire in remoto codice dannoso su qualsiasi computer Windows vulnerabile.

Microsoft JET Database Engine, o semplicemente JET (Joint Engine Technology), è un motore di database integrato in diversi prodotti Microsoft, inclusi Microsoft Access e Visual Basic

“I dati elaborati in un file di database possono innescare una scrittura oltre la fine di un buffer assegnato: un utente malintenzionato può sfruttare questa vulnerabilità per eseguire codice nel contesto del processo corrente”, ha scritto Zero Day Initiative di Trend Micro nel suo post sul blog .

“Diverse applicazioni utilizzano questo formato di database: un utente malintenzionato che lo utilizza sarebbe in grado di eseguire codice al livello del processo corrente.”

Microsoft sta lavorando su una patch per la vulnerabilità, e dal momento che non è stata inclusa nella Patch di settembre, ci si può aspettare la correzione nella patch release di ottobre di Microsoft.