• Microsoft заявила про виявлення серйозної вразливості в коді деяких версій SQL Server. Вона може бути використана для атаки на сервери баз даних, попереджає вендор.
    Всього через декілька днів після того, як у браузері Internet Explorer була виявлена серйозна вразливість і терміново випущений захисний патч, Microsoft оголосила про новий серйозний «баге» у своєму програмному забезпеченні. На цей раз проблема стосується СУБД SQL Server, повідомляє PC World.
    Microsoft випустила відповідне попередження пізно ввечері в понеділок. У ньому говориться, що вразливість може бути використана для несанкціонованого запуску в системах, які використовують версії Microsoft SQL Server 2000 і SQL Server 2005.
    Також був опублікований індекс потенційної атаки на сервер, проте, за словами Microsoft, поки не зафіксовано спроб його використання. Виявлена уразливість в SQL дозволяє зловмисникам атакувати сервер баз даних, якщо їм будь-яким чином вдасться «залогуватися» в систему. Веб-додатки, постраждалі від помилок в SQL, можуть бути використані як «міст» для того, щоб зробити атаку на кінцеву базу даних, говориться в заяві компанії.
    У певних обставин у групу ризику можуть потрапити користувачі ПК, запущених через Microsoft SQL Server 2000 Desktop Engine або SQL Server 2005 Express.
    закралася Помилка в процедуру зберігання під назвою sp_replwritetovarbin, яка використовується пз від Microsoft для реплікації транзакцій бази даних. Вона була додана розголосу ще 9 грудня фахівцями SEC Consult Vulnerability Lab, яка заявляє, що попереджала Microsoft про цю уразливість ще в квітні.
    «Системи з Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 і Microsoft SQL Server 2008 згаданого ризику не піддаються», - стверджує Microsoft.
    Це вже третя серйозна уразливість в Microsoft, виявлена за останній місяць. Тим не менш, за словами Марка Майфрета (Marc Maiffret), директора по сервісів DigiTrust Group, консалтингової компанії в області инфобезопасности, навряд чи вона буде використана для реальних атак на сервери. «Такий ризик досить низький у порівнянні з іншими існуючими уразливими місцями. Є багато більш ефективних способів знайти «компроміс» з системою Windows», - заявив він.br/>Нагадаємо, що знайдена минулого тижня пролом в системі безпеки браузера Internet Explorer призвела до витоків конфіденційної інформації з приблизно 10 тис. сайтів: для її нейтралізації компанія була змушена випустити спеціальну «латку». Раніше була виявлена серйозна уразливість в текстовому конвертері WordPad для файлів Word 97. Як і в останньому випадку, для цієї помилки патчів не виходило: швидше за все, вони увійдуть в запланований на 13 січня майбутнього року оновлення системи безпеки.
    CNews