Microsoft Memperingatkan Serangan SQL

Hanya beberapa hari setelah menambal cacat kritis dalam Browser Internet Explorer, Microsoft kini memperingatkan pengguna bug serius dalam perangkat lunak database SQL Server-nya.

Microsoft mengeluarkan penasehat keamanan pada Senin malam, mengatakan bahwa bug dapat dieksploitasi untuk menjalankan perangkat lunak tidak sah pada sistem yang menjalankan versi Microsoft SQL Server 2000 dan SQL Server 2005.

Kode serangan yang mengeksploitasi bug telah dipublikasikan, tetapi Microsoft mengatakan bahwa belum melihat kode ini digunakan dalam serangan online. Server database dapat diserang menggunakan celah ini jika para penjahat entah bagaimana menemukan cara untuk masuk ke sistem, dan aplikasi Web yang menderita bug injeksi SQL yang relatif umum dapat digunakan sebagai batu loncatan untuk menyerang database back-end, kata Microsoft.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Pengguna desktop yang menjalankan Microsoft SQL Server 2000 Desktop Engine atau SQL Server 2005 Express bisa berisiko dalam beberapa keadaan, kata Microsoft.

Kebohongan bug dalam prosedur tersimpan yang disebut "sp_replwritetovarbin," yang digunakan oleh perangkat lunak Microsoft ketika mereplikasi transaksi basis data. Itu diungkapkan secara terbuka pada tanggal 9 Desember oleh SEC Consult Vulnerability Lab, yang mengatakan telah memberi tahu Microsoft tentang masalah ini pada bulan April.

"Sistem dengan Microsoft SQL Server 7.0 Paket Layanan 4, Microsoft SQL Server 2005 Paket Layanan 3, dan Microsoft SQL Server 2008 tidak terpengaruh oleh masalah ini, "kata Microsoft dalam penasehatnya.

Ini adalah bug serius ketiga dalam perangkat lunak Microsoft yang akan diungkapkan dalam sebulan terakhir, tetapi tidak mungkin digunakan dalam serangan yang meluas, menurut Marc. Maiffret, direktur layanan profesional, dengan The DigiTrust Group, sebuah perusahaan konsultan keamanan. "Memang risiko agak rendah mengingat kerentanan lain yang ada," katanya melalui pesan instan. "Ada banyak cara yang lebih baik untuk saat ini kompromi sistem windows."

Setelah melihat cacat Internet Explorer yang digunakan dalam semakin banyak serangan online, Microsoft bergegas keluar patch darurat untuk masalah ini Rabu lalu. Perusahaan itu mengatakan juga telah melihat "serangan terbatas dan ditargetkan" mengeksploitasi bug serius di WordPad Text Converter untuk file Word 97. Seperti pada bug SQL, kerentanan pengonversi WordPad ini belum ditambal, tetapi merupakan kandidat utama yang akan diperbaiki dalam pembaruan keamanan Microsoft 13 Januari mendatang.