Ook MS SQL Server is lek
Gepubliceerd: Dinsdag 16 december 2008
Auteur: Marijn Akerboom
Oudere versies van Microsoft SQL Server bevatten een lek die het toelaat om malafide code uit te voeren. Het gaat hierbij om de versies 2000, 2005 en 2005 Express Edition. Het is nog niet bekend of ook de meest recente versie, SQL Server 2008, kwetsbaar is.
Volgens Microsoft is het gevaar minimaal, omdat de SQL-bug enkel uitgevoerd kan worden door geauthenticeerde gebruikers. De softwaregigant voegde daaraan toe dat de bug door experts is uitgebuit en nog niet in het wild is gevonden. Toch waarschuwt SEC Consult, dat het lek ontdekte, voor onderschatting. Het Oostenrijkse beveiligingsbedrijf beweert dat het wel degelijk mogelijk is om de kwetsbaarheid op afstand te misbruiken op sites die gebruik maken van SQL Server.
SEC Consult heeft Microsoft in april op de hoogte gesteld van het lek, maar er is tot op heden nog geen patch uitgebracht. Wel zegt Microsoft dat het probleem inmiddels is getraceerd en verholpen.
Voor de softwaregigant lijkt de wet van Murphy momenteel van toepassing. De kwetsbaarheid in SQL Server komt dezelfde tijd naar buiten als een gevaarlijk lek in Internet Explorer. De afgelopen Patch Tuesday was bovendien de zwaarste ooit, met maar liefst 28 gedichte lekken verdeeld over acht patches. Hierbij zou Microsoft echter een aantal kwetsbaarheden over het hoofd hebben gezien.
Bron: Techworld
