微软依然没有彻底解决Microsoft JET数据库引擎的漏洞

Posted 2021-04-28 蓝点网

微软本月发布的例行安全更新已经修复系统多处安全问题，但Microsoft JET数据库引擎漏洞并未被彻底修复。

很早以前趋势科技实验室发现Microsoft JET漏洞就向微软反馈，但微软在几个月后依然没有主动将漏洞修复。

直到上个月趋势科技自动公开该漏洞的细节才迫使微软在本月例行更新修复Microsoft JET里存在的安全漏洞。

Microsoft JET引擎图例，图文无关

微软只是缓解而不是彻底修复漏洞：

根据最新的分析报告安全人士发现微软发布的Microsoft JET引擎修复微代码只是能够缓解该漏洞带来的影响。

实际上漏洞并没有被彻底修复也就是依然还可以被利用，Microsoft JET是种被广泛使用的文档型数据库引擎。

攻击者可利用Microsoft JET的这枚漏洞远程执行任意代码，因此从危害性上说该漏洞相对来说还是挺严重的。

微软的修复破坏研究人员的方案：

在上月漏洞被公开后 Acros Security 已提供临时补丁，用户安装该补丁后可以彻底修复该数据库引擎的问题。

不幸的是微软这次发布的微代码更新不但没有彻底修复漏洞，还破坏 Acros Security 给用户提供的修复补丁。

Acros  Security 称在安装微软最新累积更新后会重新打开原本已被修复的漏洞，不得不说这有点讽刺的意味。

微软到底是在干什么：

首先趋势科技发现漏洞到彻底公开漏洞历时四个月，也就是微软在四个月的时间都没有对这枚漏洞进行修复。

说实话我们很难猜测微软到底是什么原因不修复漏洞，但从这次微代码更新也可以看出来微软似乎非常匆忙。

因此如果不是微软没时间对漏洞进行修复的话那可能就是发现还有其他问题，可能微软是想一次性解决问题。

近期热文推荐：

1.；2.；3.；4.；5、、6.