Patch für Zero-Day-Lücke in Microsofts JET Database Engine unwirksam

Ein am vergangenen Dienstag ausgelieferter Patch für eine Sicherheitslücke in der der Microsoft JET Database Engine hat offenbar nicht die gewünschte Wirkung. Das will der Sicherheitsforscher Mitja Kolsek herausgefunden haben, Mitgründer von 0patch. Ihm zufolge kann ein Angreifer die Schwachstelle weiterhin nutzen, um aus der Ferne Schadcode einzuschleusen und auszuführen und die vollständige Kontrolle über ein betroffenes System zu übernehmen.

„Zu diesem Zeitpunkt werden wir nur darlegen, dass wir herausgefunden haben, dass der offizielle Fix etwas anders ist als unser Micropatch, und zwar unglücklicherweise in der Art, dass die Anfälligkeit nur eingeschränkt statt beseitigt wird“, schreibt Kolsek im Blog seines Unternehmens. „Wir haben Microsoft sofort darüber informiert und werden keine weiteren Details oder einen Proof-of-Concept veröffentlichen, bis sie den Fix korrigiert haben.“

Den Fehler in der JET Database Engine hatte Trend Micros Zero Day Initiative entdeckt und Anfang Mai an Microsoft gemeldet. Redmond bestätigte die Sicherheitslücke nur wenige Tage später. Anfang September teilte das Unternehmen mit, es werde einen Patch aufgrund eines Fehlers nicht wie geplant im September bereitstellen. Daraufhin verpasste Microsoft die von Trend Micro gesetzte Frist von 120 Tagen, was am 20. September schließlich zur Offenlegung der Zero-Day-Lücke durch Trend Micro führte.

0patch, das sogenannte Micropatches für Sicherheitslücken entwickelt, hatte seinen ersten Fix für die Schwachstelle bereits im September veröffentlicht, 18 Tage vor Microsofts offiziellem Fix. Inzwischen steht eine neue Version zur Verfügung, die nun Microsofts unvollständigen Patch korrigieren soll. Beide Unternehmen teilten zudem mit, sie hätten noch keine Hinweise darauf gefunden, dass Hacker die Anfälligkeit aktiv ausnutzten.

Die Microsoft JET Database Engine wurde in den Neunziger Jahren entwickelt und für verschiedene Produkte benutzt, unter anderem Access, Visual Basic, Microsoft Project und IIS. Inzwischen wurde die JET Database Engine durch neuere Techniken ersetzt. Um die Abwärtskompatibilität zu erhalten, ist sie jedoch weiterhin in praktisch allen Windows-Versionen integriert.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Google stellt Pixel 4 am 15. Oktober vor

Das Event wird live auf Youtube übertragen. Das Pixel 4 verfügt über eine Gesichtsentsperrung und über eine neuartige Gestensteuerung.

10 Stunden ago

Datenskandal im Gesundheitswesen: Patientendaten öffentlich zugänglich

Das berichtet der Bayerische Rundfunk. Entdeckt hat das Datenleck Dirk Schrader, Experte für Informationssicherheit der Firma Greenbone Networks.

12 Stunden ago

Xiaomi Mi 9T Pro mit 64 GByte jetzt für unter 320 Euro

Das Angebot gilt für das schwarze Modell mit 64 GByte. Die blaue Variante kostet bei Gearbest etwa 325 Euro und…

13 Stunden ago

Office 365: Offline-Installer herunterladen

Damit lässt sich Office auf mehreren PCs installieren, ohne dass man jedes Mal die 3,3 GByte große Setup-Datei herunterladen muss.…

14 Stunden ago

Bug in LastPass gibt Anmeldedaten preis

Per JavaScript lassen sich die Kennwörter der zuletzt besuchten Websites auslesen. Eine Interaktion mit dem Nutzer ist dafür nicht notwendig.…

19 Stunden ago

Wi-Fi Alliance zertifiziert erste Geräte für neuen WLAN-Standard

Hinter dem Logo für Wi-Fi Certified 6 verbirgt sich der Standard IEEE 802.11ax. Er bietet viermal mehr Kapazität als sein…

20 Stunden ago