Llegamos a ustedes gracias a:



Alertas de Seguridad

Falla en SQL

Microsoft alerta sobre falla seria de seguridad

Microsoft ha emitido un comunicado de seguridad advirtiendo sobre la existencia de una vulnerabilidad crítica en SQL que podría ser explotada para correr software no autorizado sobre sistemas que corran las versiones SQL Server 2000 y SQL Server 2005.

El fabricante alertó sobre este agujero —serio- en su software de base de datos SQL el lunes a última hora, solo unos días después de cubrir un agujero crítico en el navegador Internet Explorer con un parche de emergencia. El código que explota la brecha ha sido ya publicado en la web, aunque Microsoft asegura no haberlo visto utilizado hasta ahora en ningún ataque en línea.
Para atacar servidores de bases de datos SQL Server aprovechando la vulnerabilidad, los hackers deben encontrar alguna manera de entrar en el sistema. Un proceso en el que las aplicaciones web que padecen de brechas de inyección SQL relativamente comunes pueden servir de plataformas para alcanzar las bases de datos de back-end de las empresas.
La falla está relacionado con un procedimiento almacenado llamado sp_replwritetovarbin que el software de Microsoft utiliza cuando replica transacciones de bases de datos. Fue revelado públicamente por primera vez el 9 de diciembre, por SEC Consult Vulnerability Lab. Esta organización asegura haber notificado el problema a Microsoft en abril.
CIO, España