Komponenty

Microsoft varuje před útokem SQL

CS50 2016 Week 0 at Yale (pre-release)

CS50 2016 Week 0 at Yale (pre-release)
Anonim

Jen pár dní po opravě kritické chyby Prohlížeč Microsoft Internet Explorer nyní upozorňuje uživatele na závažnou chybu v databázovém softwaru SQL Server.

Společnost Microsoft vydala bezpečnostní poradenství pozdě v pondělí a uvedla, že chyba může být zneužita k provozování neoprávněného softwaru v systémech se systémem Microsoft SQL Server 2000 a SQL Server 2005.

Útokový kód, který zneužívá chybu, byl publikován, ale společnost Microsoft uvedla, že tento kód ještě neviděl v online útoku. Databázové servery by mohly být napadeny touto chybou, pokud by zločinci nějak našli způsob, jak se přihlásit do systému, a webové aplikace, které trpěly poměrně běžnými chybami při injektování SQL, by mohly být použity jako odrazové kameny k útoku na back-end databázi.

Uživatelé desktopů, kteří používají Microsoft SQL Server 2000 Desktop Engine nebo SQL Server 2005 Express, mohou být za určitých okolností ohroženi, říká Microsoft. v uložené proceduře nazvané "sp_replwritetovarbin", kterou používá software společnosti Microsoft při replikaci databázových transakcí. Společnost Microsoft oznámila, že v dubnu oznámila společnosti Microsoft tuto chybu.

"Systémy s Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 a Microsoft SQL Server 2008 není tímto problémem ovlivněn, "uvedl Microsoft ve svém poradenství.

Toto je třetí závažná chyba v softwaru společnosti Microsoft, která má být zveřejněna v uplynulém měsíci, ale je nepravděpodobné, že bude použito v rozsáhlých útocích, podle Marka Maiffret, ředitelka profesionálních služeb, s The DigiTrust Group, bezpečnostní poradenskou firmou. "Je to poměrně malé riziko vzhledem k dalším zranitelným místům, které existují," řekl prostřednictvím okamžité zprávy. "Existuje spousta lepších způsobů, jak v současné době kompromisovat systém Windows."

Po tom, co Microsoft viděl chybu aplikace Internet Explorer, která se používala v rostoucím počtu on-line útoků, společnost Microsoft urychlila záchrannou náplast na problém minulou středu. Společnost říká, že také viděla "omezené a cílené útoky", které využívají vážnou chybu v aplikaci WordPad Text Converter pro soubory aplikace Word 97. Stejně jako v případě chyby SQL, tato chyba zabezpečení aplikace WordPad nebyla opravena, ale je primárním kandidátem, který má být opraven v aktualizacích zabezpečení společnosti Microsoft, které se chystají na 13. ledna.