2min

Tags in dit artikel

, ,

Gisteren heeft Microsoft toegeven dat haar SQL-server kwetsbaar is voor verschillende aanvallen waarbij men code probeert te injecteren via gesaboteerde commando’s richting de server. De betreffende versies zijn SQL Server 2000, 2005 en Windows Internal Database. Versies die geen last hebben van dit probleem zijn SQL Server 7.0 SP4, 2005 SP3 en 2008.

SEC Consulting heeft 4 december ook al publiekelijk laten weten dat dit lek bestond. Al maanden lang had SEC geprobeerd samen te werken met Microsoft om de bug op te lossen. Microsoft wilde echter niet bevestigen dat het lek bestond en wilde daardoor dus ook niet samenwerken. Uiteindelijk heeft SEC 4 december de informatie over het lek gepubliceerd op het internet. Ook op dat moment heeft de softwaregigant het lek niet gerepareerd, het wilde nog niet eens toegeven dat het bestond.

Gisteren heeft Microsoft uiteindelijk toegegeven dat het lek bestaat. Men is nu van plan om het probleem in januari of februari te verhelpen.

SQL Server is een databaseprogramma voor bedrijven. Waarin SQL staat voor Structured of Standard Query Language. Door simpele "vragen" naar de server toe, kunnen uit de grote database de gewilde gegevens gehaald worden.
In de eerder genoemde versies van SQL Server is het echter zo dat hackers deze "vragen" richting de server kunnen manipuleren. Wanneer dit mogelijk is kunnen deze hackers bepaalde gegevens uit de database halen die eigenlijk voor hen niet zichtbaar zouden mogen zijn. Ook kunnen ze op deze manier gegevens veranderen of eigen gegevens toevoegen, met alle gevolgen van dien.