Microsoft varnar för SQL Attack

Bara några dagar efter att en kritisk fel har lagts i dess Internet Explorer-webbläsare, varnar Microsoft nu användaren av en allvarlig bugg i sin SQL Server-databasprogramvara.

Microsoft gav ut en säkerhetsrådgivande sen måndag och sa att buggen skulle kunna utnyttjas för att köra obehörig programvara på system som kör versioner av Microsoft SQL Server 2000 och SQL Server 2005.

Anfallskod som utnyttjar buggen har publicerats, men Microsoft sa att det ännu inte har sett den här koden som används för online-attacker. Databasservrar kan attackeras med hjälp av denna fel om brottslingarna på något sätt hittade ett sätt att logga in på systemet, och webbapplikationer som drabbades av relativt vanliga SQL-injektionsfel kan användas som stepping stones för att attackera backend-databasen, sa Microsoft.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Skrivare som kör Microsoft SQL Server 2000 Desktop Engine eller SQL Server 2005 Express kan vara i fara under vissa omständigheter, säger Microsoft. i en lagrad procedur som heter "sp_replwritetovarbin", som används av Microsofts programvara när den replikerar databasstransaktioner. Det offentliggjordes den 9 december av SEC Consult Vulnerability Lab, som sa att den hade anmält Microsoft om problemet i april.

"System med Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 och Microsoft SQL Server 2008 påverkas inte av detta problem, säger Microsoft i sin rådgivning.

Det här är den tredje allvarliga buggen i Microsofts programvara som kommer att avslöjas under den senaste månaden, men det är osannolikt att det kommer att användas i utbreda attacker, enligt Marc Maiffret, chef för professionella tjänster, med DigiTrust Group, ett säkerhetsrådgivningsföretag. "Det är ganska låg risk med tanke på andra sårbarheter som finns", sa han via snabbmeddelande. "Det finns många bättre sätt att för närvarande kompromissa med Windows-system."

Efter att ha sett Internet Explorer-felet som användes i ett ökande antal onlinekampanjer, rusade Microsoft en nödsituation för problemet förra onsdagen. Företaget säger att det också har sett "begränsade och riktade attacker" som utnyttjar en allvarlig bugg i WordPad Text Converter för Word 97-filer. Precis som med SQL-felet har denna WordPad-omvandlaresäkerhet inte blivit patchad, men är en ledande kandidat som ska åtgärdas i Microsofts kommande 13 januari säkerhetsuppdateringar.