کمیته رکن چهارم – مایکروسافت وصلهای برای یک آسیبپذیری روز صفر در موتور پایگاه داده JET ارائه کرد ولی به گفته پژوهشگران ۰patch این وصله ناقص است.
اخیرا، مایکروسافت وصلهای برای یک آسیبپذیری روز صفر در موتور پایگاهداده JET ارائه کرد. اما به گفته پژوهشگران ۰patch این وصله ناقص است. مدتی قبل، patch یک وصله برای آن ارائه کرد که حفره موجود را میپوشاند.
این نقص یک آسیبپذیری خرابی حافظه (CVE-۲۰۱۸-۸۴۲۳) است که به مهاجم اجازه اجرا کد دلخواه میدهد. آسیبپذیری توسط Trend Micro کشف شده است.
نقص موجود یک نوشتن خارج از محدوده یا Out-of-bounds است که در موتور پایگاهداده JET وجود دارد. این موتور زمینه Microsoft Access و نرمافزار Visual Basic است و جایگزینی کمتر شناخته شده برای SQL Server است.
بدلیل اینکه آسیبپذیری قبل از ارائه وصله آن به عنوان یک نقص روز صفر منتشر شده است، یک روز پس از انتشار آن، ۰patch یک micropatch برای آن ارائه کرد. اکنون نیز یک micropatch دیگر برای اصلاح وصله رسمی ارائه شده است. مشکل بوجود آمده در یکی از DLLهای هسته ویندوز یعنی msrd۳x۴۰.dll وجود دارد.
پس ارائه وصله رسمی توسط مایکروسافت، نسخه msrd۳x۴۰.dll از ۴,۰.۹۸۰۱.۰ به ۴.۰.۹۸۰۱.۵ تغییر کرده است و همچنین Hash رمزنگاری آن نیز تغییر کرده است، در نتیجه وصله غیررسمی ابتدایی ارائه شده توسط ۰patch دیگر روی msrd۴x۴۰.dll اعمال نمیشود. ۰patch تفاوتهایی را بین وصله رسمی micropatch خود یافته است و به گفته آنها، وصله ارائه شده تنها آسیبپذیری را محدود میکند و آنرا برطرف نمیکند.
۰patch مایکروسافت را نسبت به این موضوع آگاه و اعلام کرده است که تا زمان ارائه بروزرسانی رسمی، جزئیات کد اثبات مفهومی را منتشر نخواهد کرد.
Micropatch ارائه شده نسخههای نهایی ۳۲بیتی و ۶۴ بیتی ویندوزهای ۱۰، ۸,۱، ۷، سرور ۲۰۰۸ و سرور ۲۰۱۲ و همچنین نسخههای ویندوزی که از همان نسخه msrd۳x۴۰.dll استفاده میکند را اصلاح میکند.
