Microsoft เตือน SQL Attack

เพียงไม่กี่วันหลังจากแก้ไขข้อบกพร่องสำคัญ ๆ ใน เบราว์เซอร์ Internet Explorer ไมโครซอฟท์กำลังเตือนผู้ใช้ข้อบกพร่องร้ายแรงในซอฟต์แวร์ฐานข้อมูล SQL Server

ไมโครซอฟท์ออกคำแนะนำด้านความปลอดภัยเมื่อวันจันทร์ที่ผ่านมาโดยบอกว่าข้อผิดพลาดนี้อาจถูกใช้เพื่อเรียกใช้ซอฟต์แวร์ที่ไม่ได้รับอนุญาตในระบบที่รันเวอร์ชัน Microsoft SQL Server 2000 และ SQL Server 2005.

มีการเผยแพร่โค้ดโจมตีที่ใช้ประโยชน์จากข้อบกพร่อง แต่ไมโครซอฟท์กล่าวว่าไม่ได้เห็นรหัสนี้ใช้ในการโจมตีออนไลน์ เซิร์ฟเวอร์ฐานข้อมูลอาจถูกโจมตีโดยใช้ข้อบกพร่องนี้ถ้าอาชญากรได้พบวิธีลงชื่อเข้าใช้ระบบและแอพพลิเคชันบนเว็บที่ได้รับความเสียหายจากข้อผิดพลาดในการฉีด SQL ทั่วไปอาจถูกใช้เป็นก้าวล้ำในการโจมตีฐานข้อมูลแบบแบ็คเอนด์ Microsoft กล่าว

ผู้ใช้เดสก์ท็อปที่เรียกใช้ Microsoft SQL Server 2000 Desktop Engine หรือ SQL Server 2005 Express อาจมีความเสี่ยงในบางสถานการณ์ Microsoft กล่าวว่า

ข้อผิดพลาดอยู่ ในขั้นตอนการจัดเก็บที่เรียกว่า "sp_replwritetovarbin" ซึ่งใช้โดยซอฟต์แวร์ของ Microsoft เมื่อทำซ้ำการทำธุรกรรมฐานข้อมูล ได้รับแจ้งจากสาธารณะเมื่อวันที่ 9 ธันวาคมโดย SEC Consult Vulnerability Lab ซึ่งกล่าวว่าได้แจ้งให้ Microsoft ทราบถึงปัญหาในเดือนเมษายน

"ระบบที่มี Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 และ Microsoft SQL Server ไม่ได้รับผลกระทบจากปัญหานี้ "Microsoft กล่าวในที่ปรึกษาของ บริษัท

นี่เป็นข้อผิดพลาดที่ร้ายแรงอันดับสามในซอฟต์แวร์ของไมโครซอฟต์ที่จะเปิดเผยในเดือนที่ผ่านมา แต่ก็ไม่น่าจะถูกนำมาใช้ในการโจมตีอย่างกว้างขวาง Maiffret ผู้อำนวยการฝ่ายบริการระดับมืออาชีพของ The DigiTrust Group ซึ่งเป็น บริษัท ที่ปรึกษาด้านความมั่นคง "มีความเสี่ยงน้อยมากที่มีช่องโหว่อื่น ๆ ที่มีอยู่" เขากล่าวผ่านทางข้อความโต้ตอบแบบทันที "มีหลายวิธีที่ดีกว่าที่จะทำให้ระบบ Windows ประนีประนอมได้ในปัจจุบัน"

หลังจากเห็นข้อบกพร่องของ Internet Explorer ที่ใช้ในการโจมตีออนไลน์จำนวนมากไมโครซอฟท์ก็รีบออกแพทช์ฉุกเฉินสำหรับปัญหานี้เมื่อวันพุธที่ผ่านมา "การโจมตีที่ จำกัด และตรงตามเป้าหมาย" ซึ่งใช้ประโยชน์จากข้อผิดพลาดร้ายแรงใน WordPad Text Converter สำหรับไฟล์ Word 97 เช่นเดียวกับข้อผิดพลาด SQL ช่องโหว่ของโปรแกรมแปลง WordPad นี้ไม่ได้รับการแก้ไข แต่เป็นผู้สมัครที่สำคัญที่จะได้รับการแก้ไขในการอัปเดตการรักษาความปลอดภัยในวันที่ 13 มกราคมของ Microsoft