Microsoft avertit d’une faille dans SQL Server

C’est tard dans la soirée de lundi que Microsoft a diffusé une nouvelle alerte de sécurité concernant une faille dans SQL Server son logiciel de gestion de bases de données. Cette faille pourrait être exploitée en exécutant un programme non autorisé dans les versions 2000 et 2005 de Microsoft SQL Server. A noter, les versions 7.0 SP 4, 2005 SP 3 et 2008 ne sont pas impactées.

Dès lors, le code d’attaque permettant l’exploitation de la faille a été diffusé sur le Web même si les responsables de la firme estiment qu’ils n’ont, à leur connaissance, pas encore observé d’attaques en ligne.

A la loupe, les bases de données des serveurs pourraient être des cibles via cette faille si des hackers parvenaient à s’authentifier au système ou s’ils exploitent la faille par injections SQL dans une application Web pour s’authentifier. Une complexité qui rend difficile l’exploitation de la vulnérabilité.

Marc Maiffret, directeur des services professionnels de Microsoft relativise lorsqu’il est interrogé par PC World : « Nous sommes en présence d’un risque bien moindre comparé aux autres vulnérabilités qui existent.Il poursuit, il existe bien d’autres moyens de compromettre un système Windows« .

La faille repérée par les services de Redmond identifie un problème dans la procédure de réplication « sp_replwritetovarbin ».

Il s’agit là de la troisième faille majeure révélée en un mois dans les services de Microsoft. Contrairement à la vulnérabilité critique dans Internet Explorer, cette faille ne devrait pas être patchée en urgence. Un correctif sera disponible lors du prochain bulletin mensuel, le 13 janvier prochain.