Une vulnérabilité ‘jour zéro’ a été identifiée dans le moteur de base de données JET impactant toutes les versions de Windows

Lucas Leong, un chercheur en sécurité de l'équipe Trend Micro Security Research, a dévoilé publiquement une vulnérabilité "jour zéro" dans toutes les versions prises en charge du système d'exploitation Microsoft Windows (y compris les éditions du serveur). Cette vulnérabilité réside dans le moteur de base de données Microsoft Jet qui pourrait permettre à un attaquant d'exécuter à distance du code malveillant sur tout ordinateur Windows vulnérable.

Le moteur de base de données Microsoft JET, ou simplement JET (Joint Engine Technology), est un moteur de base de données intégré à plusieurs produits Microsoft, notamment Microsoft Access et Visual Basic.

Cette vulnérabilité a été publiée par Zero Day Initiative (ZDI). Elle provient d'un problème de gestion des index dans le moteur de base de données Jet qui pourrait provoquer une exécution de code arbitraire à distance. L'ouverture d'un fichier de base de données JET spécialement conçu pour exploiter cette vulnérabilité par un utilisateur pourrait permettre à un attaquant d'exécuter à distance un code malveillant sur l'ordinateur Windows dudit utilisateur.

Selon les chercheurs de ZDI, cette vulnérabilité impacte toutes les versions de Windows prises en charge, y compris Windows 10, Windows 8.1, Windows 7 et Windows Server Edition 2008 à 2016.

ZDI a signalé cette vulnérabilité à Microsoft le 8 mai, qui a confirmé le bogue le 14 mai, mais n'a pas réussi à corriger la vulnérabilité et à publier une mise à jour dans un délai de 120 jours. Une preuve de concept de la vulnérabilité a également été publiée sur la page GitHub de Trend Micro.

Microsoft travaille sur un correctif pour cette vulnérabilité et, comme ce dernier n'a pas été inclus dans le "Patch Tuesday" de septembre, il pourrait être l'être dans la version d’octobre.

Trend Micro recommande à tous les utilisateurs concernés de ne pas ouvrir de fichiers provenant de sources inconnues, en attendant que Microsoft propose un correctif.