Microsofts Jet Database Engine läuft der Puffer über [Update]
Eine Schwachstelle in der Behandlung von Datenbankabfragen macht beliebigen Code ausführbar.
Cesar Cerrudo, bekannter Bugjäger mit Spezialisierung auf Datenbanken, berichtet in der Mailing-Liste Full-Disclosure über einen Fehler in Microsofts Jet Engine 4.0 bis Service Pack 6, die beim SQL Server 2000, SQL Server 7 und MSDE installiert wird. Die Jet Engine wird zum Zugriff auf lokale, dateibasierte Datenbanken verwendet, unter anderem Access und dBase, kann aber auch mit SQL-Server kommunizieren.
Eine SELECT-Abfrage mit einem zu langen Funktionsnamen provoziert einen Buffer Overflow, mit dem sich, wer hätte das gedacht, beliebiger Code einschleusen und im Kontext des SQL Server ausführen lässt. Auf SQL-Servern ist die Engine standardmäßig abgeschaltet. Um die Schwachstelle remote auszunutzen, muss man in der Lage sein, die SELECT-Abfrage angeben zu können. In Kombination mit SQL-Injection lassen sich Befehle in Datenbanken einschleusen, die dann den Buffer Overflow provozieren. Zur lokalen Kompromittierung genügt ein VB-Skript.
Microsoft ist nach Angaben von Cerrudo bereits informiert und stellt Patches bereit. (dab)
