Ook SQL Server-database blijkt lek

Het eerste lek is wederom te wijten aan kwetsbaarheid voor 'buffer overflow'. SQL Server is niet geprogrammeerd om bij het genereren van teksten na een zoekopdracht te controleren, of de geproduceerde tekst past binnen de buffer die het systeem daarvoor beschikbaar heeft gesteld. Daardoor kan een hacker eigen programmaatjes binnensmokkelen in het systeem. Hoeveel kwaad dat kan, hangt af van het niveau van beveiliging dat de databasebeheerder heeft ingesteld. Wanneer daar niet al te veel aandacht aan is besteed, kan een hacker langs deze weg de database wijzigen of zelfs controle over het systeem krijgen. Het tweede lek zit strikt gesproken niet in SQL Server, maar in de C runtime van Windows NT 4, Windows 2000 en Windows XP. Deze module, die ervoor zorgt dat in C geschreven programma's uitgevoerd kunnen worden, blijkt in sommige gevallen niet te controleren of opdrachten geen eigenaardigheden bevatten. Dat maakt het mogelijk om via deze module een 'denial of service'-aanval te openen op de SQL Server-database. Het risico op misbruik van deze lekken is volgens Microsoft niet al te groot. Een hacker kan er alleen gebruik van maken als hij zelf het recht heeft een zoekopdracht aan de database te geven of als hij in staat is zo'n opdracht op de computer te lokaliseren. (jwy) Zie onze eerdere berichtgeving:Worm belaagt Microsofts SQL Server - 22 november 2001