Microsoft
заявила об обнаружении серьезной уязвимости в коде некоторых версий SQL
Server. Она может быть использована для атаки на серверы баз данных,
предупреждает вендор.
Всего несколько дней спустя после того, как в браузере Internet Explorer была обнаружена
серьезная уязвимость и срочно выпущен защитный патч, Microsoft
объявила о новом серьезном «баге» в своем программном обеспечении. На
этот раз проблема касается СУБД SQL Server, сообщает PC World.
Microsoft выпустила соответствующее предупреждение поздно вечером в
понедельник. В нем говорится, что уязвимость может быть использована
для несанкционированного запуска ПО в системах, использующих версии
Microsoft SQL Server 2000 и SQL Server 2005.
Также был опубликован код потенциальной атаки на сервер,
однако, по заверениям Microsoft, пока не зафиксировано попыток его
использования. Обнаруженная уязвимость в SQL позволяет злоумышленникам
атаковать сервер баз данных, если им каким-либо образом удастся
«залогиниться» в систему. Веб-приложения, пострадавшие от ошибок в SQL,
могут быть использованы как «мост» для того, чтобы совершить атаку на
конечную базу данных, говорится в заявлении компании.
Пользователи Microsoft SQL Server 2000 и SQL Server 2005 могут подвергнуться атаке
В определенных обстоятельствах в группу риска могут попасть
пользователи ПК, запущенных через Microsoft SQL Server 2000 Desktop
Engine или SQL Server 2005 Express.
Ошибка закралась в процедуру хранения под названием
sp_replwritetovarbin, которая используется ПО от Microsoft для
репликации транзакций базы данных. Она была придана огласке еще 9
декабря специалистами SEC Consult Vulnerability Lab, которая заявляет,
что предупреждала Microsoft об этой уязвимости еще в апреле.
«Системы с Microsoft SQL Server 7.0 Service Pack 4, Microsoft
SQL Server 2005 Service Pack 3 и Microsoft SQL Server 2008 упомянутому
риску не подвергаются», - утверждает Microsoft.
Это уже третья серьезная уязвимость в ПО Microsoft, обнаруженная за последний месяц. Тем не менее, по словам Марка Майфрета
(Marc Maiffret), директора по сервисам DigiTrust Group, консалтинговой
компании в области инфобезопасности, вряд ли она будет использована для
реальных атак на серверы. «Такой риск достаточно низок в сравнение с
другими существующими уязвимостями. Есть много более эффективных
способов найти «компромисс» с системой Windows», - заявил он.
Напомним, что найденная на прошлой неделе брешь в системе
безопасности браузера Internet Explorer привела к утечкам
конфиденциальной информации с примерно 10 тыс. сайтов: для ее
нейтрализации компания была вынуждена выпустить специальную «заплатку».
Ранее была обнаружена серьезная уязвимость в текстовом конвертере
WordPad для файлов Word 97. Как и в последнем случае, для этой ошибки
патчей не выходило: скорее всего, они войдут в запланированное на 13
января будущего года обновление безопасности системы.
Источник: CNews.ru
|