Patch für Zero-Day-Lücke in Microsofts JET Database Engine unwirksam

Ein am vergangenen Dienstag ausgelieferter Patch für eine Sicherheitslücke in der der Microsoft JET Database Engine hat offenbar nicht die gewünschte Wirkung. Das will der Sicherheitsforscher Mitja Kolsek herausgefunden haben, Mitgründer von 0patch. Ihm zufolge kann ein Angreifer die Schwachstelle weiterhin nutzen, um aus der Ferne Schadcode einzuschleusen und auszuführen und die vollständige Kontrolle über ein betroffenes System zu übernehmen.

„Zu diesem Zeitpunkt werden wir nur darlegen, dass wir herausgefunden haben, dass der offizielle Fix etwas anders ist als unser Micropatch, und zwar unglücklicherweise in der Art, dass die Anfälligkeit nur eingeschränkt statt beseitigt wird“, schreibt Kolsek im Blog seines Unternehmens. „Wir haben Microsoft sofort darüber informiert und werden keine weiteren Details oder einen Proof-of-Concept veröffentlichen, bis sie den Fix korrigiert haben.“

Den Fehler in der JET Database Engine hatte Trend Micros Zero Day Initiative entdeckt und Anfang Mai an Microsoft gemeldet. Redmond bestätigte die Sicherheitslücke nur wenige Tage später. Anfang September teilte das Unternehmen mit, es werde einen Patch aufgrund eines Fehlers nicht wie geplant im September bereitstellen. Daraufhin verpasste Microsoft die von Trend Micro gesetzte Frist von 120 Tagen, was am 20. September schließlich zur Offenlegung der Zero-Day-Lücke durch Trend Micro führte.

0patch, das sogenannte Micropatches für Sicherheitslücken entwickelt, hatte seinen ersten Fix für die Schwachstelle bereits im September veröffentlicht, 18 Tage vor Microsofts offiziellem Fix. Inzwischen steht eine neue Version zur Verfügung, die nun Microsofts unvollständigen Patch korrigieren soll. Beide Unternehmen teilten zudem mit, sie hätten noch keine Hinweise darauf gefunden, dass Hacker die Anfälligkeit aktiv ausnutzten.

Die Microsoft JET Database Engine wurde in den Neunziger Jahren entwickelt und für verschiedene Produkte benutzt, unter anderem Access, Visual Basic, Microsoft Project und IIS. Inzwischen wurde die JET Database Engine durch neuere Techniken ersetzt. Um die Abwärtskompatibilität zu erhalten, ist sie jedoch weiterhin in praktisch allen Windows-Versionen integriert.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann @beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Über 350.000 Exchange-Server anfällig für Angriffe

Obwohl Microsoft bereits im Februar einen Patch für die Lücke CVE-2020-0688 veröffentlicht hatte, sind aktuell noch über 350.000 Exchange-Server anfällig…

12 Stunden ago

Trotz COVID-19-Pandemie: Samsung meldet Umsatz- und Gewinnplus im ersten Quartal

Die Einnahmen verbessern sich um fünf Prozent. Beim operativen Profit erzielt Samsung ein Plus von 2,7 Prozent. Die vollständige Bilanz…

16 Stunden ago

Bericht: Facebook droht wegen Marketplace neuer Ärger mit EU-Kartellwächtern

Brüssel verschickt Fragebögen an Mitbewerber im Bereich Online-Kleinanzeigen. Facebook soll seine dominante Position missbrauchen und sich mit Daten von Nutzern…

18 Stunden ago

Xiaomi Mi Note 10 mit 108-Megapixel-Sensor für 390 Euro erhältlich

Mit einem Preis von unter 400 Euro ist das Xiaomi Mi Note 10 das günstigste Smartphone, das im DxOMark-Kameratest im…

18 Stunden ago

DarkHotel: Hacker greifen chinesische Behörden über VPN-Zero-Day-Lücke an

Die Hacker schleusen über kompromittierte VPN-Server von Sangfor einen Backdoor-Trojaner ein. Möglicherweise geht es ihnen um Informationen über die COVID-19-Pandemie.…

20 Stunden ago

Zoom räumt ein: Hauseigene Verschlüsselungstechnik ist unzureichend

Forscher stufen die Verschlüsselung als ungeeignet für Behörden und Unternehmen ein. Eine Schwachstelle in der Wartezimmer-Funktion behebt Zoom kurzfristig. Zoom…

21 Stunden ago