|
Vulnerabilidad en Microsoft Jet Database (MSJET40.DLL)
|
|
VSantivirus No. 1730 Año 9, sábado 2 de abril de 2005
Vulnerabilidad en Microsoft Jet Database (MSJET40.DLL)
http://www.vsantivirus.com/vul-bugtraq-12960.htm
Por Angela Ruiz
angela@videosoft.net.uy
Microsoft Jet Database es una implementación de base de datos ampliamente utilizada por las aplicaciones de Microsoft Office.
Uno de sus principales componentes es la biblioteca MSJET40.DLL, que procesa todas las solicitudes de lectura y escritura de datos en la base de Microsoft Access (archivos MDB).
Se ha detectado que MSJET40.DLL en ocasiones no valida correctamente un archivo MDB malformado, ocasionando que el sistema falle por una condición de desbordamiento de búfer.
Esto ocasiona el acceso a la memoria con una referencia inválida (puntero vacío o null pointer), lo que habilita la ejecución arbitraria de código al poderse acceder a porciones de memoria ocupadas por el propio programa.
El problema es explotable remotamente, si se convence al usuario a abrir un archivo .MDB especialmente modificado.
Solo son afectados los productos que dependen de MSJET40.DLL (Microsoft Jet Engine Library), en las versiones 4.00.8618.0 y anteriores. Esto incluye a Microsoft Access. No son afectados los productos que dependen de MSJETOLEDB40.DLL (Microsoft OLE -Object Linking and Embedding- DB Provider for Jet).
Se ha publicado una demostración en Internet.
Productos vulnerables:
- Microsoft JET 2.0 (Microsoft Access 2.0)
- Microsoft JET 2.5 (Microsoft Access 2.0 SP1)
- Microsoft JET 3.0 (Microsoft Access 95)
- Microsoft JET 3.5 (Microsoft Access 95 y 97)
- Microsoft JET 3.51 SP3
- Microsoft JET 3.51 (Microsoft Excel 95 y 97)
- Microsoft JET 4.0 SP7
- Microsoft JET 4.0 SP6
- Microsoft JET 4.0 SP5
- Microsoft JET 4.0 SP4
- Microsoft JET 4.0 SP3
- Microsoft JET 4.0 SP2
- Microsoft JET 4.0 SP1
- Microsoft JET 4.0 (Microsoft Access 2000)
Solución
No existe una solución oficial del problema. Tampoco se dio tiempo a Microsoft para ello. Según el autor del descubrimiento, Microsoft fue notificado el 30 de marzo de 2005, y fue hecho publico apenas 24 horas después por no haber existido una respuesta.
Se recomienda no aceptar o descargar archivos .MDB (o de cualquier otra clase de base de datos), de fuentes no confiables o desconocidas.
Créditos:
HexView
Referencias:
Identificado en BugTraq como ID 12960
Microsoft Jet DB engine vulnerabilities
http://www.hexview.com/docs/20050331-1.txt
Microsoft Jet Database Engine Malformed Database File Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/12960
Microsoft Jet Database Engine DB File Buffer Overflow Vulnerability
http://www.frsirt.com/english/advisories/2005/0306
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|