Publiczne ujawnienie niezałatanej podatności to ostatnie, co może dodać prestiżu jakiemukolwiek dostawcy usług. Gdy jednak dostawca zwleka zbyt długo z wypuszczeniem łatki, upublicznienie informacji wydaje się uzasadnione. Z tej niepisanej reguły skorzystał właśnie Trend Micro, który poinformował o luce w zabezpieczeniach silnika Microsoft Jet. Dzięki temu wiadomo, że wszystkie wspierane wersje Windows i Windows Server są zagrożone.
Trend Micro, podobnie jak wielu innych dostawców oprogramowania chroniącego, zajmuje się badaniem zabezpieczeń i wyszukiwaniem podatności. W ramach jego inicjatywy Zero Day pracownicy identyfikują bugi i zgłaszają je dostawcom oprogramowania wraz z określonym czasem (zwykle 120 dni) na ich załatanie. Procedura jest standardowa - brak łatki w terminie skutkuje upublicznieniem wszystkiego. Mimo dość łagodnych warunków Microsoft znów nie zdążył przed deadlinem i luka została ujawniona - jak na ironię w serwisie GitHub, gdzie znalazły się wszystkie szczegóły.
Podatność została scharakteryzowana jako Out-of-Bound i związana jest z zapisywaniem. Wywołać ją można, otwierając źródło Jet poprzez składnik Microsoftu, znany jako Object Linking and Embedding Database (OLEDB).
Ta specyficzna luka istnieje wewnątrz [systemu] zarządzania indeksami w silniku bazodanowym Jet. Spreparowane dane w pliku bazy danych mogą wywołać zapis po zakończeniu alokowanego bufora.
- wyjaśnia Trend Micro
Microsoft zaakceptował zgłoszenie i pracuje nad poprawką. Ta ukaże się najprawdopodobniej dopiero w ramach najbliższego Patch Tuesday, który wypada 9 października. Do tego czasu luka jest nadal otwarta.
