Microsoft предупреждает об атаке SQL

Через несколько дней после исправления критического недостатка в его Браузера Internet Explorer, Microsoft теперь предупреждает пользователей о серьезной ошибке в своем программном обеспечении для базы данных SQL Server.

Корпорация Майкрософт выпустила консультацию по безопасности в понедельник, заявив, что ошибка может быть использована для запуска несанкционированного программного обеспечения в системах с версиями Microsoft SQL Server 2000 и SQL Server 2005.

Код атаки, который использует ошибку, опубликован, но Microsoft заявила, что еще не увидела этот код, используемый в онлайн-атаках. По словам Microsoft, серверы баз данных могут быть атакованы с использованием этого недостатка, если преступники каким-то образом нашли способ входа в систему, а веб-приложения, которые пострадали от относительно распространенных ошибок SQL-инъекций, могут быть использованы в качестве ступеней для атаки на внутреннюю базу данных.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

В некоторых случаях пользователи Desktop, работающие под управлением Microsoft SQL Server 2000 Desktop Engine или SQL Server 2005 Express, могут быть подвержены риску.

Ошибка в хранимой процедуре, называемой «sp_replwritetovarbin», которая используется программным обеспечением Microsoft при повторной обработке транзакций базы данных. Он был публично раскрыт 9 декабря SEC Consult Vulnerability Lab, в котором говорится, что в апреле Microsoft сообщила об этой проблеме.

«Системы с Microsoft SQL Server 7.0 с пакетом обновления 4 (SP4), Microsoft SQL Server 2005 с пакетом обновления 3 (SP3) и Microsoft SQL Server 2008 не затронуты этой проблемой », - говорится в заявлении Microsoft.

Это третья серьезная ошибка в программном обеспечении Microsoft, которая будет раскрыта в прошлом месяце, но вряд ли она будет использоваться в широко распространенных атаках, согласно Marc Майффрет, директор профессиональных служб, с DigiTrust Group, консалтинговой фирмой по безопасности. «Это довольно низкий риск, учитывая другие уязвимости, которые существуют», - сказал он через мгновенное сообщение. «Есть намного лучшие способы в настоящее время скомпрометировать системы Windows».

После просмотра недостатка Internet Explorer, используемого во все большем числе онлайн-атак, Microsoft выгнала аварийный патч для этой проблемы в прошлую среду. Компания говорит, что она также увидела «ограниченные и целенаправленные атаки», которые использовали серьезную ошибку в WordPad Text Converter для файлов Word 97. Как и в случае с SQL-ошибкой, эта уязвимость в WordPad-конвертере не была исправлена, но является основным кандидатом для исправления в обновлениях обновлений Microsoft от 13 января.