![cert[at]uma[dot]ac[dot]ir](http://cert.uma.ac.ir/images/cert_email.png)
Microsoft Jet Database Engine یک موتور پایگاه داده می باشد که از آن چندین محصول مایکروسافت از جمله Access و ویژوال بیسیک استفاده شده است. موتور پایگاه داده جز اصلی یک پایگاه داده، مجموعه ای از اطلاعات ذخیره شده در کامپیوتر بصورت سیستماتیک می باشد. اولین نسخه از Jet در سال 1992 توسعه یافته و شامل سه ماژول می باشد که می تواند برای کار با پایگاه داده استفاده گردد.
آسیب پذیری روز صفر در این موتور پایگاه داده توسط Lucas Leong یکی از اعضای تیم تحقیق در شرکت TrendMicro کشف شده است. این آسیب پذیری به مهاجم اجازه اجرای کد از راه دور در سیستم آسیب پذیر می دهد. برای شروع حمله، یک فایل Jet مخصوص ساخته شده توسط مهاجم نیاز به باز شدن دارد که در ادامه، باعث انجام عمیات نوشتن خارج از بافر حافظه می شود. این عملیات باعث اجرای کد از راه دور در سیستم هدف خواهد بود.
این آسیب پذیری ناشی از مشکلاتی در مدیریت شاخص ها (Indexes) در موتور پایگاه داده Jet می باشد که با شناسه ZDI-18-1075 بر روی سیستم های ویندوز 10، 8.1، 7 و ویندوز سرور 2008 تا 2016 تاثیرگذار می باشد. بعد از انتشار این آسیب پذیری، 0patch وصله ای را برای برطرف سازی این آسیب پذیری منتشر کرد. اما تاکنون هیچگونه وصله ای از طرف مایکروسافت برای این آسیب پذیری منتشر نشده است. طبق مدت زمان 4 ماهه که برای رفع این آسیبپذیری توسط TrendMicro برای مایکروسافت در نظر گرفته شده بود مایکروسافت نتوانست وصله ای را برای این آسیب پذیری ارائه دهد و در عمل با شکست مواجه شد. کد اثبات مفهوم این آسیبپذیری نیز بصورت عمومی در صفحه گیت هاب مربوط به TrendMicro منشتر شده است.