Componentes

Microsoft advierte sobre el ataque SQL

Protégete: nuevas vulnerabilidades de día 0 de Flash y Java

Protégete: nuevas vulnerabilidades de día 0 de Flash y Java
Anonim

Apenas unos días después de reparar un error crítico en su Navegador de Internet Explorer, Microsoft advierte a los usuarios de un error grave en su software de base de datos SQL Server.

Microsoft emitió un aviso de seguridad el lunes por la noche diciendo que el error podría ser explotado para ejecutar software no autorizado en sistemas que ejecutan versiones de Microsoft SQL Server 2000 y SQL Server 2005.

Se publicó el código de ataque que explota el error, pero Microsoft dijo que aún no ha visto este código usado en los ataques en línea. Los servidores de bases de datos podrían ser atacados usando este error si los delincuentes encontraban alguna manera de conectarse al sistema, y ​​las aplicaciones web que sufrían de errores de inyección SQL relativamente comunes podrían usarse como puntos de paso para atacar la base de datos de back-end, dijo Microsoft.

[Más información: cómo eliminar el malware de su PC con Windows]

Los usuarios de escritorio que ejecutan el motor de escritorio Microsoft SQL Server 2000 o SQL Server 2005 Express podrían estar en riesgo en algunas circunstancias, dijo Microsoft.

El error se encuentra en un procedimiento almacenado llamado "sp_replwritetovarbin", que es utilizado por el software de Microsoft cuando replica las transacciones de la base de datos. El SEC Consult Vulnerability Lab dio a conocer públicamente el 9 de diciembre y dijo que había notificado a Microsoft el problema en abril.

"Sistemas con Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 y Microsoft SQL Server 2008 no se ve afectado por este problema ", dijo Microsoft en su aviso.

Este es el tercer error grave en el software de Microsoft que se divulgará el mes pasado, pero es poco probable que se use en ataques generalizados, según Marc. Maiffret, director de servicios profesionales, con The DigiTrust Group, una empresa de consultoría de seguridad. "Es de bajo riesgo dado otras vulnerabilidades que existen", dijo a través de un mensaje instantáneo. "Hay muchas mejores formas de comprometer actualmente los sistemas de Windows".

Después de ver la falla de Internet Explorer utilizada en un número creciente de ataques en línea, Microsoft lanzó un parche de emergencia para el problema el miércoles pasado. La compañía dice que también ha visto "ataques limitados y dirigidos" que explotan un error grave en WordPad Text Converter para archivos de Word 97. Al igual que con el error de SQL, esta vulnerabilidad del convertidor de WordPad no se ha corregido, pero es un candidato ideal para ser reparado en las próximas actualizaciones de seguridad del 13 de enero de Microsoft.