The Top 10 Developer Mistakes That Won't Scale on Microsoft SQL Server
Bare dager etter å ha plukket en kritisk feil i sin Microsoft Explorer er nå advarsel for brukere av en alvorlig feil i SQL Server-databaseprogramvaren.
Microsoft utstedte en sikkerhetsrådgivende sent mandag, og sa at feilen kunne utnyttes for å kjøre uautorisert programvare på systemer som kjører versjoner av Microsoft SQL Server 2000 og SQL Server 2005.
Angrepskode som utnytter feilen har blitt publisert, men Microsoft sa at den ennå ikke har sett denne koden som brukes i angrep på nettet. Databaseservere kan bli angrepet ved hjelp av denne feilen hvis kriminellene på en eller annen måte fant en måte å logge på systemet, og webapplikasjoner som led av relativt vanlige SQL-injeksjonsbugger, kan brukes som stepping stones for å angripe back-end-databasen, sa Microsoft.
[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC].Desktop-brukere som kjører Microsoft SQL Server 2000-skrivebordsmotoren eller SQL Server 2005 Express, kan være i fare under noen omstendigheter, sier Microsoft. i en lagret prosedyre kalt "sp_replwritetovarbin", som brukes av Microsofts programvare når den kopierer databasetransaksjoner. Det ble offentliggjort 9. desember av SEC Consult Vulnerability Lab, som sa at den hadde varslet Microsoft om problemet i april.
"Systemer med Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 og Microsoft SQL Server 2008 er ikke berørt av dette problemet, sier Microsoft i sin rådgivning.
Dette er den tredje alvorlige feilen i Microsofts programvare som skal avsløres i den siste måneden, men det er usannsynlig å bli brukt i utbredt angrep, ifølge Marc Maiffret, direktør for profesjonelle tjenester, med DigiTrust Group, et konsulentselskap for sikkerhet. "Det er ganske lav risiko gitt andre sårbarheter som eksisterer," sa han via direktemeldinger. "Det er mange bedre måter å kompromittere Windows-systemer."
Etter å ha sett Internet Explorer-feilen brukt i et økende antall onlinekampanjer, løp Microsoft en nødsporre for problemet i går onsdag. Selskapet sier at det også har sett "begrensede og målrettede angrep" som utnytter en alvorlig feil i WordPad Text Converter for Word 97-filer. Som med SQL-feilen, har denne sikkerhetsproblemet i WordPad-omformeren ikke blitt oppdatert, men er en toppkandidat som skal løses i Microsofts kommende 13-års sikkerhetsoppdateringer.
Microsoft advarer om nytt tilgangsangrep
Microsoft advarsler aktive angrep som utnytter en feil i sin stillbildevisningsprogram for Access ActiveX-kontroll.
Analytikere forventer at Microsoft advarer om Q2-inntekter
Microsoft må kanskje advare Wall Street om at det vil savne forventningene sine for sin finanspolitiske 2009 andre kvartal fordi av det flaggende PC-markedet.
Symantec advarer om malware-målretting av SQL-databaser
Symantec har oppdaget et annet merkelig stykke skadelig programvare som ser ut til å målrette mot Iran og er designet for å blande seg med SQL-databaser.