Microsoft מזהיר מפני התקפת SQL

ימים ספורים לאחר תיקון תקלה קריטית הדפדפן של Internet Explorer, מיקרוסופט מזהיר כעת משתמשים של באג רציני בתוכנת מסד הנתונים של SQL Server.

מיקרוסופט פרסמה הודעת אבטחה ביום שני המאוחרת, ואמרה כי ניתן לנצל את הבאג כדי להפעיל תוכנות לא מורשות במערכות שבהן פועלות גירסאות של Microsoft SQL Server 2000 ו- SQL Server 2005.

קוד ההתקפה שמנצל את הבאג פורסם, אך מיקרוסופט אמרה כי היא עדיין לא ראתה קוד זה בשימוש בהתקפות מקוונות. שרתי מסד נתונים יכולים להיות מותקפים באמצעות פגם זה אם הפושעים מצאו בדרך כלשהי דרך להיכנס למערכת, ויישומי אינטרנט שסבלו מבאגים נפוצים יחסית של SQL יכולים לשמש אבני דריכה לתקוף את מסד הנתונים העורפי, אמרה מיקרוסופט.

[המשך קריאה: כיצד להסיר תוכנות זדוניות ממחשב Windows]

משתמשי שולחן העבודה שבהם פועל Microsoft SQL Server 2000 Desktop או SQL Server 2005 Express עלולים להיות בסיכון בנסיבות מסוימות, אמרה מיקרוסופט.

הבאג שקר בהליך מאוחסן הנקרא "sp_replwritetovarbin", אשר משמש את התוכנה של מיקרוסופט כאשר הוא משכפל עסקאות מסד נתונים. זה היה חשוף בפומבי ב 9 בדצמבר על ידי SEC להתייעץ פגיעות מעבדה, אשר אמר כי הודיעה מיקרוסופט על הבעיה בחודש אפריל.

"מערכות עם Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 ו- Microsoft SQL Server 2008 לא מושפעים מבעיה זו ", אמרה מיקרוסופט ביועצתה.

זהו הבאג השלישי ברצינות בתוכנה של מיקרוסופט, אשר יפורסם בחודש האחרון, אך אין זה סביר שישתמשו בו בהתקפות נרחבות, על פי מארק Maiferret, מנהל שירותים מקצועיים, עם קבוצת DigiTrust, חברת ייעוץ אבטחה. "זה סיכון נמוך יחסית פגיעויות אחרות הקיימות," הוא אמר באמצעות הודעה מיידית. "יש הרבה דרכים טובות יותר להתפשר על מערכות Windows." אחרי שראה את הפגם של Internet Explorer, אשר נעשה שימוש במספר גדל והולך של התקפות מקוונות, מיקרוסופט מיהרה להוציא תיקון חירום לבעיה ביום רביעי שעבר. החברה טוענת כי היא גם ראתה "התקפות מוגבלות וממוקדות" מנצלת באג רציני בתמליל טקסט כתבן עבור Word 97 קבצים. כמו באג SQL, זה פגיעות ממיר WordPad לא תוקנו, אבל הוא מועמד הממשלה להיות קבוע ב 13 ינואר עדכוני האבטחה של מיקרוסופט.