Het lek zit in SQL Server 2000, 2005 en 2008 op alle Windows platformen. Het is bekendgemaakt door Sentrigo. Een onderzoeker merkte op dat de persoonlijke wachtwoorden duidelijk zichtbaar waren in het geheugen in SQL Server, aldus Slavik Markovich, de CTO van Sentrigo. “Het is dan wel alleen mogelijk om deze kwetsbaarheid uit te buiten als je administrator rechten hebt”, zei hij, “maar vaak hebben meerdere gebruikers binnen IT-organisaties die rechten. Zelfs als zulke mensen helemaal betrouwbaar zijn, zou het nog niet moeten mogen dat ze de wachtwoorden van anderen kunnen zien. Bovendien bestaat altijd het risico dat een hacker zich die rechten toe-eigent, en dan kan de toegang tot deze gebruikerswachtwoorden de impact van zo’n hack vele malen groter maken.”

Naar eigen zeggen heeft Sentrigo eerst het MSRC team van Microsoft op de hoogte gesteld van het lek, maar Microsoft heeft daarna aangegeven dat men niet van plan is om het lek direct aan te pakken. Volgens Sentrigo is het dan in het belang van de hele SQL gemeenschap dat deze kennis gedeeld wordt. Bovendien heeft het bedrijf een tooltje uitgebracht waarmee gebruikers hun wachtwoorden uit het geheugen kunnen wissen.

Bron: Techworld