谷歌公开披露尚未修补的微软Jet数据库引擎RCE漏洞

　　Google Project Zero 安全团队 9 月 20 日公开披露了一个影响 Microsoft Jet 数据库引擎的远程执行代码漏洞。该漏洞被认为会影响所有支持的 Windows 版本（包括服务器版本），且截至本文发布时，尚未完成修补。Google 团队表示他们已遵循其披露流程，Microsoft 已经超过了 120 天的漏洞披露限制日期。

　　该漏洞属于越界（OOB）写入漏洞，可通过 OLEDB 打开 Jet 数据源来触发：

　　安全研究人员称，Jet 引擎中的索引管理存在缺陷。如果被利用，可能导致在当前用户的上下文中远程执行代码。不过，触发漏洞的前提是，用户需要打开包含 Jet 数据库信息的恶意文件。

　　据悉，Google 于 5 月 8 日向 Microsoft 报告了此漏洞，Microsoft 也在最新的补丁中解决了影响 Jet 的两个独立的缓冲区溢出漏洞，但是针对该漏洞的修复程序并未发布。