Problemi all’orizzonte per Microsoft Jet Database Engine. Il team della Zero Day Initiative di Trend Micro ha scoperto una vulnerabilità nel motore di database relazionale della casa di Redmond, che permette a un hacker di eseguire codice da remoto. Il bug è stato reso noto dalla società di sicurezza perché sono scaduti i 120 giorni dati a Microsoft per risolvere la situazione. L’azienda statunitense ha però spiegato di essere al lavoro per sviluppare un correttivo, che verrà probabilmente incluso nel prossimo aggiornamento Patch Tuesday, atteso nella prima metà di ottobre. La falla è di scrittura out-of-bound e potrebbe essere sfruttata per eseguire codice maligno, anche se per l’esecuzione è necessario che l’utente visioni un file contenente dati leggibili dal motore Jet, che vengono aperti tramite le Api Object Linking and Embedding Database (Oledb).

Il codice del proof of concept elaborato dai ricercatori è disponibile su Github. Trend Micro ha spiegato che la vulnerabilità è certamente presente in Windows 7, ma è molto probabile che tutte le versioni del sistema operativo di Redmond, incluse le edizioni per server, siano affette dal bug. Trattandosi di un sistema esposto e potenzialmente attaccabile, il team di cybersecurity raccomanda di non aprire file da fonti sconosciute.

Microsoft non sarebbe riuscita a “tappare” il buco in tempo (la notifica è arrivata alla multinazionale l’8 maggio) perché impegnata nelle scorse settimane a risolvere altri due problemi di Jet. Si trattava di falle di tipo buffer overflow che impattavano il motore di database, risolte con l’aggiornamento Patch Tuesday rilasciato a settembre. Ma, sfortunatamente, l’ultimo baco è sopravvissuto.