Patch für Zero-Day-Lücke in Microsofts JET Database Engine unwirksam

Ein am vergangenen Dienstag ausgelieferter Patch für eine Sicherheitslücke in der der Microsoft JET Database Engine hat offenbar nicht die gewünschte Wirkung. Das will der Sicherheitsforscher Mitja Kolsek herausgefunden haben, Mitgründer von 0patch. Ihm zufolge kann ein Angreifer die Schwachstelle weiterhin nutzen, um aus der Ferne Schadcode einzuschleusen und auszuführen und die vollständige Kontrolle über ein betroffenes System zu übernehmen.

„Zu diesem Zeitpunkt werden wir nur darlegen, dass wir herausgefunden haben, dass der offizielle Fix etwas anders ist als unser Micropatch, und zwar unglücklicherweise in der Art, dass die Anfälligkeit nur eingeschränkt statt beseitigt wird“, schreibt Kolsek im Blog seines Unternehmens. „Wir haben Microsoft sofort darüber informiert und werden keine weiteren Details oder einen Proof-of-Concept veröffentlichen, bis sie den Fix korrigiert haben.“

Den Fehler in der JET Database Engine hatte Trend Micros Zero Day Initiative entdeckt und Anfang Mai an Microsoft gemeldet. Redmond bestätigte die Sicherheitslücke nur wenige Tage später. Anfang September teilte das Unternehmen mit, es werde einen Patch aufgrund eines Fehlers nicht wie geplant im September bereitstellen. Daraufhin verpasste Microsoft die von Trend Micro gesetzte Frist von 120 Tagen, was am 20. September schließlich zur Offenlegung der Zero-Day-Lücke durch Trend Micro führte.

0patch, das sogenannte Micropatches für Sicherheitslücken entwickelt, hatte seinen ersten Fix für die Schwachstelle bereits im September veröffentlicht, 18 Tage vor Microsofts offiziellem Fix. Inzwischen steht eine neue Version zur Verfügung, die nun Microsofts unvollständigen Patch korrigieren soll. Beide Unternehmen teilten zudem mit, sie hätten noch keine Hinweise darauf gefunden, dass Hacker die Anfälligkeit aktiv ausnutzten.

Die Microsoft JET Database Engine wurde in den Neunziger Jahren entwickelt und für verschiedene Produkte benutzt, unter anderem Access, Visual Basic, Microsoft Project und IIS. Inzwischen wurde die JET Database Engine durch neuere Techniken ersetzt. Um die Abwärtskompatibilität zu erhalten, ist sie jedoch weiterhin in praktisch allen Windows-Versionen integriert.

Whitepaper

SAP S/4HANA trifft ECM: Was Sie für eine erfolgreiche Migrationsstrategie beachten sollten

Ceyoniq beleutet in diesem Whitepaper anhand von sechs Thesen die wichtigsten Aspekte zum Thema und gibt Tipps für eine erfolgreiche Migrationsstrategie.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Android Security: Drittanbieter schützen besser

Das Testinstitut AV-Comparatives hat neun weit verbreitete Android Security Apps auf Herz und Nieren geprüft.…

9 Stunden ago

Samsung hat Erfolg in der Krise

Samsung bleibt trotz der COVID19-Krise auf der Erfolgsspur und hat seinen Gewinn im zweiten Halbjahr…

14 Stunden ago

Fraunhofer HHI führt Videokodierstandard H.266/VVC ein

Das Fraunhofer Heinrich-Hertz-Institut (HHI) war wesentlich daran beteiligt, den neuen weltweiten Videokodierstandard H.266 / Versatile…

16 Stunden ago

So greift EKANS Ransomware kritische Infrastrukturen an

Sicherheitsexperten von Fortinet haben die EKANS Ransomware gründlich analysiert und zeigen auf, welche Angriffstechniken die…

17 Stunden ago

So wird IT zukunftssicher

IT und vor allem Unternehmensanwendungen verändern sich durch umfassende Digitalisierungen und Herausforderungen wie die Covid-19-Krise…

18 Stunden ago

AVM veröffentlicht FritzOS 7.20 für Fritzbox 7590

FritzOS 7.20 soll eine erhebliche Performancesteigerung bringen. Außerdem beinhaltet es Komfortfunktionen für das smarte Heimnetz,…

1 Tag ago