DB Hacking - MS SQL
Hanya beberapa hari setelah menembusi kelemahan kritikal Microsoft telah memberi amaran pengguna bug yang serius dalam perisian pangkalan data SQL Server.
Microsoft mengeluarkan penasihat keselamatan lewat hari Isnin, mengatakan bahawa bug boleh dieksploitasi untuk menjalankan perisian tidak sah pada sistem yang menjalankan versi Microsoft SQL Server 2000 dan SQL Server 2005.
Kod serangan yang mengeksploitasi bug telah diterbitkan, tetapi Microsoft mengatakan bahawa ia belum melihat kod ini digunakan dalam serangan dalam talian. Pelayan pangkalan data boleh diserang menggunakan cacat ini jika penjenayah entah bagaimana menemui jalan masuk ke sistem, dan aplikasi Web yang mengalami pepijat suntikan SQL yang biasa boleh digunakan sebagai batu loncatan untuk menyerang pangkalan data back-end, kata Microsoft.
[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]Pengguna desktop yang menjalankan Microsoft SQL Server 2000 Desktop Engine atau SQL Server 2005 Express mungkin berisiko dalam beberapa keadaan, kata Microsoft. dalam prosedur tersimpan yang dipanggil "sp_replwritetovarbin," yang digunakan oleh perisian Microsoft apabila ia mereplikasi transaksi pangkalan data. Ia didedahkan secara terbuka pada 9 Disember oleh SEC Consult Labs Vulnerability, yang mengatakan ia telah memberitahu Microsoft tentang isu itu pada April.
"Sistem dengan Microsoft Service Pack 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3, dan Microsoft SQL Server 2008 tidak terjejas oleh isu ini, "kata Microsoft dalam nasihatnya.
Ini adalah bug serius ketiga dalam perisian Microsoft yang akan didedahkan pada bulan lalu, tetapi tidak mungkin digunakan dalam serangan yang meluas, menurut Marc Maiffret, pengarah perkhidmatan profesional, dengan The DigiTrust Group, firma perunding keselamatan. "Ia adalah risiko yang agak rendah diberikan kelemahan lain yang wujud," katanya menerusi mesej segera. "Terdapat banyak cara yang lebih baik untuk mengompromi sistem tingkap pada masa ini."
Selepas melihat cacat Internet Explorer yang digunakan dalam serangan yang semakin meningkat dalam talian, Microsoft bergegas keluar patch kecemasan untuk isu Rabu lalu. Syarikat itu mengatakan ia juga telah melihat "serangan terhad dan sasaran" mengeksploitasi pepijat yang serius dalam WordPad Text Converter untuk fail Word 97. Seperti halnya bug SQL, kelemahan penukar WordPad ini belum ditambal, tetapi merupakan calon utama yang akan diperbaiki dalam kemas kini keselamatan Januari 13 yang akan datang Microsoft.
Adobe Warns Over Bogus Pemutar Flash Player
Peretas cuba untuk menipu orang untuk memuat turun perisian jahat yang dilabel sebagai Adobe Flash Player, yang mendorong amaran dari syarikat.
Cybercrooks Surf for Database, Analyst Warns
IDC mengatakan perusahaan untuk menguatkan kata laluan dan firewall sebagai hacker mengubah perhatian mereka ke database yang diakses melalui Web
Internet Hit Oleh LizaMoon SQL Injection Attack; memasang Windows Stability Center penyangak
Firma keselamatan, Web Sense telah menemui serangan SQL Injection yang mengarahkan pengguna untuk memasang perisian keamanan penyangak Windows Stability Center.