Komponenter

Microsoft advarer om SQL-angrep

The Top 10 Developer Mistakes That Won't Scale on Microsoft SQL Server

The Top 10 Developer Mistakes That Won't Scale on Microsoft SQL Server
Anonim

Bare dager etter å ha plukket en kritisk feil i sin Microsoft Explorer er nå advarsel for brukere av en alvorlig feil i SQL Server-databaseprogramvaren.

Microsoft utstedte en sikkerhetsrådgivende sent mandag, og sa at feilen kunne utnyttes for å kjøre uautorisert programvare på systemer som kjører versjoner av Microsoft SQL Server 2000 og SQL Server 2005.

Angrepskode som utnytter feilen har blitt publisert, men Microsoft sa at den ennå ikke har sett denne koden som brukes i angrep på nettet. Databaseservere kan bli angrepet ved hjelp av denne feilen hvis kriminellene på en eller annen måte fant en måte å logge på systemet, og webapplikasjoner som led av relativt vanlige SQL-injeksjonsbugger, kan brukes som stepping stones for å angripe back-end-databasen, sa Microsoft.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC].

Desktop-brukere som kjører Microsoft SQL Server 2000-skrivebordsmotoren eller SQL Server 2005 Express, kan være i fare under noen omstendigheter, sier Microsoft. i en lagret prosedyre kalt "sp_replwritetovarbin", som brukes av Microsofts programvare når den kopierer databasetransaksjoner. Det ble offentliggjort 9. desember av SEC Consult Vulnerability Lab, som sa at den hadde varslet Microsoft om problemet i april.

"Systemer med Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 og Microsoft SQL Server 2008 er ikke berørt av dette problemet, sier Microsoft i sin rådgivning.

Dette er den tredje alvorlige feilen i Microsofts programvare som skal avsløres i den siste måneden, men det er usannsynlig å bli brukt i utbredt angrep, ifølge Marc Maiffret, direktør for profesjonelle tjenester, med DigiTrust Group, et konsulentselskap for sikkerhet. "Det er ganske lav risiko gitt andre sårbarheter som eksisterer," sa han via direktemeldinger. "Det er mange bedre måter å kompromittere Windows-systemer."

Etter å ha sett Internet Explorer-feilen brukt i et økende antall onlinekampanjer, løp Microsoft en nødsporre for problemet i går onsdag. Selskapet sier at det også har sett "begrensede og målrettede angrep" som utnytter en alvorlig feil i WordPad Text Converter for Word 97-filer. Som med SQL-feilen, har denne sikkerhetsproblemet i WordPad-omformeren ikke blitt oppdatert, men er en toppkandidat som skal løses i Microsofts kommende 13-års sikkerhetsoppdateringer.