No SQL Injection in MongoDB Applications | SANS@MIC Talk
Slechts enkele dagen nadat een essentiële fout in de patch is aangebracht Internet Explorer, Microsoft waarschuwt gebruikers nu voor een ernstige bug in de SQL Server-databasesoftware.
Microsoft heeft afgelopen maandag een beveiligingsadvies uitgebracht, waarin staat dat de bug kan worden misbruikt om ongeautoriseerde software uit te voeren op systemen met versies van Microsoft SQL Server 2000 en SQL Server 2005.
Aanvalscode die misbruik maakt van de bug is gepubliceerd, maar Microsoft heeft aangegeven dat deze code nog niet is gebruikt bij online aanvallen. Databaseservers kunnen met deze fout worden aangevallen als de criminelen op de een of andere manier een manier vinden om zich bij het systeem aan te melden, en webtoepassingen die leden aan relatief gemeenschappelijke SQL-injectiefouten konden worden gebruikt als opstap voor de back-enddatabase, zei Microsoft.
[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]Desktopgebruikers met de Microsoft SQL Server 2000 Desktop Engine of SQL Server 2005 Express lopen in sommige omstandigheden een risico, aldus Microsoft.
in een opgeslagen procedure genaamd "sp_replwritetovarbin," die wordt gebruikt door Microsofts software wanneer het databasetransacties repliceert. Het werd openbaar gemaakt op 9 december door SEC Consult Vulnerability Lab, dat zei Microsoft hierover te hebben ingelicht in april.
"Systemen met Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 en Microsoft SQL Server 2008 wordt niet beïnvloed door dit probleem, "zei Microsoft in zijn advies.
Dit is de derde ernstige bug in de software van Microsoft die de afgelopen maand is onthuld, maar het is onwaarschijnlijk dat deze zal worden gebruikt bij wijdverspreide aanvallen, volgens Marc Maiffret, directeur van professionele services, bij The DigiTrust Group, een beveiligingsadviesbureau. "Het is vrij laag risico gezien andere kwetsbaarheden die bestaan," zei hij via instant message. "Er zijn veel betere manieren om Windows-systemen te compromitteren."
Na het zien van de fout in Internet Explorer die werd gebruikt bij een groeiend aantal online-aanvallen, haalde Microsoft afgelopen woensdag een noodpatch voor de kwestie. Het bedrijf zegt ook "beperkte en gerichte aanvallen" te hebben gezien die een ernstige fout in de WordPad Text Converter voor Word 97-bestanden gebruiken. Net als bij de SQL-bug is deze kwetsbaarheid van de WordPad-converter niet gepatcht, maar het is een uitstekende kandidaat om te worden opgelost in de komende 13 januari beveiligingsupdates van Microsoft.
SAP Warns on Q3 Earnings, Cites Economy
SAP waarschuwde maandag dat zijn Q3-omzet door de zwakke economie niet zou voldoen aan de verwachtingen.
Na een rustperiode van enkele maanden verspreidt SQL Web Attack zich opnieuw
Na drie maanden inactiviteit is het Asprox-botnet opnieuw boven water gekomen en infecteert het Websites met SQL-injectie.
Internet getroffen door LizaMoon SQL Injection Attack; installeert schurkenstaten Windows Stability Center
Beveiligingsbedrijf Web Sense heeft een SQL Injection-aanval ontdekt die de gebruiker opdringt om valse beveiligingssoftware Windows Stability Center te installeren.