Grâce un bug dans les bases de données Jet Database, un attaquant peut créer des fichiers malveillants qui, ouverts sur une machine Windows, autorise l’exécution de n’importe quel code.
Alerte générale sur les plateformes Windows. En mai dernier, le chercheur en sécurité Lucas Leong de Trend Micro a découvert une faille dans la gestion des index dans les bases de données Jet Database, une technologie Microsoft intégrée dans toutes les versions de Windows. Ce bug permet à un attaquant de forger un fichier de bases de données malveillant qui, s’il est ouvert par un utilisateur imprudent, permet d’exécuter du code arbitraire sur la machine avec les privilèges de l’application utilisée.
détails de la faille ont donc été rendus publics, code à l’appui. A noter que ce délai est plus long que celui de 90 jours imposé par les chercheurs en sécurité de Google Project Zero, une autre initiative dont le but est de chasser les failles dans les logiciels et qui épingle régulièrement des produits de Microsoft.
On ne sait pas quand la firme de Redmond rectifiera le tir. Il est probable qu’un correctif sera intégré dans le prochain Patch Tuesday, prévu pour le 9 octobre. D’ici là, gare aux pièces jointes.