Поступила очередная порция новостей об обнаружении свежей уязвимости в
популярном продукте от Microsoft. На сей раз речь идет о дыре в сервере баз
данных Microsoft SQL Server, использовать которую помогает последняя версия
Internet Explorer.

Согласно информации, предоставленной специалистами австрийской компании SEC
Consult, уязвимость в SQL Server позволяет удаленно выполнить произвольный код.
Правда, для осуществления атаки требуется, чтобы хакер имел в системе права
авторизованного пользователя, однако реализация эксплоита возможна и через
веб-сайты, которые работают с поисковыми запросами, пользовательскими базами
данных и другими приложениями через SQL Server. При этом в уязвимое приложение
производится SQL-инъекция.

На данный момент лабораторно подтверждено наличие уязвимости в SQL Server
2000 и 2005. Атака запускает процесс перезаписи памяти компьютера при помощи
использования переменных в хранимой процедуре sp_replwritetovarbin. Специалисты
SEC Consult уверяют, что предупреждали Microsoft об этой опасности еще в апреле
текущего года. В свою очередь, представители софтверного гиганта подчеркивают,
что на данный момент не зарегистрировано ни одного реального случая подобной
атаки.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии