Chỉ vài ngày sau khi vá lỗ hổng nghiêm trọng trong Internet Explorer, Microsoft lại phải cảnh báo người dùng về một lỗi nghiêm trọng trong phần mềm CSDL SQL Server.      Trong bản tin cảnh báo bảo mật được phát đi vào cuối ngày 22/12/2008 Microsoft cho biết, lỗi có thể bị khai thác để chạy phần mềm trái phép trên những hệ thống đang chạy các phiên bản Microsoft SQL Server 2000 và SQL Server 2005.

     Hiện mã tấn công khai thác lỗi đã được phát tán rộng rãi trên Internet nhưng Microsoft cho biết vẫn chưa thấy mã được sử dụng trong bất kỳ cuộc tấn công trực tuyến nào. Để có thể khai thác thành công lỗi này, tin tặc phải tìm được cách đăng nhập vào máy chủ CSDL và tận dụng những lỗi SQL Injection thường được phát hiện trên các ứng dụng web.

    Lỗi SQL Server trên đây nằm trong thủ tục “sp_replwritetovarbin”, đã được công ty bảo mật SEC Consult Vulnerability Lab phát hiện và thông báo cho Microsoft từ hồi tháng 4/2008. Hôm 9/12/2008 SEC Consult đã quyết định công bố rộng rãi thông tin lỗi và mã khai thác.

     Đây là lỗi nghiêm trọng thứ 3 trong các phần mềm của Microsoft được tiết lộ trong tháng 12/2008.

                                                                          Nguồn: Theo TC TGVT