کشف آسیب پذیری روز صفر در Jet Database Engine ویندوز

کشف آسیب پذیری روز صفر در Jet Database Engine ویندوز Microsoft Jet Database Engine یک موتور پایگاه داده می باشد که از آن چندین محصول مایکروسافت از جمله Access و ویژوال بیسیک استفاده شده است. موتور پایگاه داده جز اصلی یک پایگاه داده، مجموعه ای از اطلاعات ذخیره شده در کامپیوتر بصورت سیستماتیک می باشد. اولین نسخه از Jet در سال 1992 توسعه یافته و شامل سه ماژول می باشد که می تواند برای کار با پایگاه داده استفاده گردد.

آسیب ­پذیری روز صفر در این موتور پایگاه­ داده توسط Lucas Leong یکی از اعضای تیم تحقیق در شرکت TrendMicro کشف شده است. این آسیب ­پذیری به مهاجم اجازه اجرای کد از راه دور در سیستم آسیب ­پذیر می­ دهد. برای شروع حمله، یک فایل Jet مخصوص ساخته شده توسط مهاجم نیاز به باز شدن دارد که در ادامه، باعث انجام عمیات نوشتن خارج از بافر حافظه می­ شود. این عملیات باعث اجرای کد از راه دور در سیستم هدف خواهد بود.

این آسیب ­پذیری ناشی از مشکلاتی در مدیریت شاخص ­ها (Indexes) در موتور پایگاه­ داده Jet می ­باشد که با شناسه ZDI-18-1075 بر روی سیستم­ های ویندوز 10، 8.1، 7 و ویندوز سرور 2008 تا 2016  تاثیرگذار می­ باشد. بعد از انتشار این آسیب­ پذیری، 0patch وصله ­ای را برای برطرف­ سازی این آسیب­ پذیری منتشر کرد.  اما تاکنون هیچگونه وصله ­ای از طرف مایکروسافت برای این آسیب ­پذیری منتشر نشده است. طبق مدت زمان 4 ماهه که برای رفع این آسیب­پذیری توسط TrendMicro برای مایکروسافت در نظر گرفته شده بود مایکروسافت نتوانست وصله­ ای را برای این آسیب­ پذیری ارائه دهد و در عمل با شکست مواجه شد. کد اثبات مفهوم این آسیب­پذیری نیز بصورت عمومی در صفحه گیت ­هاب مربوط به TrendMicro منشتر شده است.