В интернет беше публикуван кода на атака, използваща бъга, но от Microsoft съобщиха, че досега не са засекли онлайн атаки към SQL сървърите.
За да има ефект от такива атаки, обаче хакера трябва предварително да е получил достъп до системата или да ползва уеб приложения, които чрез добре познати бъгове при SQL инжекциите могат да получат такъв достъп.
Уязвимостта е заложена в процедурата "sp_replwritetovarbin”, която софтуера използва при репликиране на транзакции от базата данни и е открита от SEC Consult Vulnerability Lab, които посочват, че са уведомили Microsoft за проблема през април тази година.
Microsoft TechNet, обаче събощава, че системите с Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 и Microsoft SQL Server 2008 не са засегнати.
Това е третия сериозен бъг, който бива открит за сравнително кратък период - миналата сряда Microsoft пуснаха пач за Internet Explorer, след като бяха открити критични пролуки в браузъра, използвани с увеличаващи се темпове на атакуване. От компанията съобщиха също и за засечен малкък брой атаки, възползващи се от бъг във файловете на WordPad Text Converter for Word 97.
Що се отнася до уязвимостта в SQL сървъртие, според Marc Maiffret, директор Професионални услуги към The DigiTrust Group, тя едва ли ще бъде широко използвана и по-скоро става дума за риск с малка вероятност.
Все пак Microsoft планират да пуснат ъпдейти на 13 януари, с които да изчистят изцяло уязвимостите и рисковете, свързани с тях.
Източник: IDG.BG
