Um pesquisador da Trend Micro divulgou uma vulnerabilidade zero day que funciona em todas as versões do Windows (incluindo as edições de servidor). O zero day foi informado à Microsoft 120 dias atrás, com o aviso de que decorrido esse prazo os dados seriam divulgados para proteção dos usuários. Como a empresa não publicoui nenhuma correção, a informação foi divulgada.
O pesquisador é Lucas Leong e a vulnerabilidade está no Jet Database Engine (JDE), que permite a um invasor executar remotamente códigos mal-intencionados em qualquer computador Windows. O Microsoft JET Database Engine, ou simplesmente JET (Joint Engine Technology), é um mecanismo de banco de dados integrado em vários produtos da Microsoft, incluindo o Microsoft Access e o Visual Basic.
De acordo com um comunicado da Zero Day Initiative (ZDI), a vulnerabilidade se deve a um problema com o gerenciamento de índices no JDE, se explorado com sucesso, pode permitir uma gravação de memória out-out-bounds, ou seja, fora dos seus limites, levando a execução remota de código, com as consequências que todos sabemos. No entanto, o invasor precisa convencer o usuário a abrir um arquivo de banco de dados especialmente criado para explorar essa vulnerabilidade e executar remotamente os códigos mal-intencionados no computador Windows vulnerável.
Todos os detalhes do zero day podem ser obtidos na página do ZDI onde ele foi registrado. A prova de conceito (POC) mostrando que o exploit funciona foi publicada na página da Trend Micro no GitHub.