De patch die Microsoft heeft uitgebracht voor de JET-kwetsbaarheid lijkt niet compleet te zijn. De kwetsbaarheid schijnt nog altijd te bestaan in de JET database engine. Dat terwijl Microsoft afgelopen week tijdens Patch Tuesday het gat gedicht dacht te hebben.
De kwetsbaarheid kwam ergens halverwege september aan het licht toen het Trend Micro Zero-Day Initiative (ZDI) er details over schreef op zijn website. Het ZDI stelde dat Microsoft er niet in geslaagd was het gat op tijd te dichten en dat het om die reden besloten had de problemen openbaar te maken. Gebruikers en bedrijven zouden volgens de logica van het ZDI dan actie kunnen ondernemen om henzelf te beschermen tegen hackpogingen.
Grote zorgen
De kwetsbaarheid zorgde voor grote zorgen, voornamelijk omdat de JET database engine terug te vinden valt in alle versies van Windows. Hackers hebben dan ook beschikking over een wel heel groot potentieel aan slachtoffers. Beveiligingsexperts hebben grote kritiek op Microsoft en het feit dat het bedrijf er niet in slaagde snel genoeg een patch uit te brengen. Dat is volgens kenners vooral vervelend omdat het lek het mogelijk maakt voor hackers om het systeem van een gebruiker volledig over te nemen.
Het is niet de eerste keer dat Microsoft laat kwam met de patch voor een kwetsbaarheid die aangetroffen werd in een legacy-product. Eerder gebeurde zoiets ook met de Equation Editor-app binnen Office. Dat was vorig jaar een van de grootste en meest uitgebuite kwetsbaarheden in de Microsoft-software.
Patch werkt niet
De JET-engine is een van de eerste pogingen van Microsoft om een databasetechnologie te ontwikkelen en werd in de jaren negentig uitgebracht. Het werd gebruikt om enkele Microsoft-apps aan te drijven, waaronder Access, Visual Basic en IIS 3.0. Het systeem is al lange tijd geleden vervangen door nieuwere technieken, maar Microsoft laat het altijd als legacy-product bestaan.
Afgelopen Patch Tuesday bracht Microsoft gelukkig wel een patch uit voor de problemen. Maar volgens Mitja Kolsek, medeoprichter van 0patch is deze niet compleet en kunnen aanvallers de oorspronkelijke kwetsbaarheid nog altijd uitbuiten. Om die reden brengt het een nieuwe micropatch uit die moet voorkomen dat de problemen uitgebuit kunnen worden. “We hebben Microsoft over de problemen geïnformeerd en zullen geen nieuwe details vrijgeven, zolang er geen patch is uitgebracht”, aldus Kolsek.
Er zouden geen pogingen zijn gezien van hackers om de kwetsbaarheid ook daadwerkelijk uit te buiten.
4 uur geleden
