Protégete: nuevas vulnerabilidades de día 0 de Flash y Java
Apenas unos días después de reparar un error crítico en su Navegador de Internet Explorer, Microsoft advierte a los usuarios de un error grave en su software de base de datos SQL Server.
Microsoft emitió un aviso de seguridad el lunes por la noche diciendo que el error podría ser explotado para ejecutar software no autorizado en sistemas que ejecutan versiones de Microsoft SQL Server 2000 y SQL Server 2005.
Se publicó el código de ataque que explota el error, pero Microsoft dijo que aún no ha visto este código usado en los ataques en línea. Los servidores de bases de datos podrían ser atacados usando este error si los delincuentes encontraban alguna manera de conectarse al sistema, y las aplicaciones web que sufrían de errores de inyección SQL relativamente comunes podrían usarse como puntos de paso para atacar la base de datos de back-end, dijo Microsoft.
[Más información: cómo eliminar el malware de su PC con Windows]Los usuarios de escritorio que ejecutan el motor de escritorio Microsoft SQL Server 2000 o SQL Server 2005 Express podrían estar en riesgo en algunas circunstancias, dijo Microsoft.
El error se encuentra en un procedimiento almacenado llamado "sp_replwritetovarbin", que es utilizado por el software de Microsoft cuando replica las transacciones de la base de datos. El SEC Consult Vulnerability Lab dio a conocer públicamente el 9 de diciembre y dijo que había notificado a Microsoft el problema en abril.
"Sistemas con Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 y Microsoft SQL Server 2008 no se ve afectado por este problema ", dijo Microsoft en su aviso.
Este es el tercer error grave en el software de Microsoft que se divulgará el mes pasado, pero es poco probable que se use en ataques generalizados, según Marc. Maiffret, director de servicios profesionales, con The DigiTrust Group, una empresa de consultoría de seguridad. "Es de bajo riesgo dado otras vulnerabilidades que existen", dijo a través de un mensaje instantáneo. "Hay muchas mejores formas de comprometer actualmente los sistemas de Windows".
Después de ver la falla de Internet Explorer utilizada en un número creciente de ataques en línea, Microsoft lanzó un parche de emergencia para el problema el miércoles pasado. La compañía dice que también ha visto "ataques limitados y dirigidos" que explotan un error grave en WordPad Text Converter para archivos de Word 97. Al igual que con el error de SQL, esta vulnerabilidad del convertidor de WordPad no se ha corregido, pero es un candidato ideal para ser reparado en las próximas actualizaciones de seguridad del 13 de enero de Microsoft.
Microsoft advierte de un nuevo ataque de acceso
Microsoft advierte de ataques activos que aprovechan un error en su Visor de instantánea para el control de acceso ActiveX.
Symantec advierte sobre el ataque a la nueva palabra
ACTUALIZACIÓN: Symantec advierte de un posible error de 0 días en Microsoft Word que está siendo explotado por ciberdelincuentes.
Symantec advierte sobre malware dirigido a bases de datos SQL
Symantec ha descubierto otra extraña pieza de malware que parece estar dirigida a Irán y está diseñada para entrometerse en bases de datos SQL.