Báo động khẩn cấp về lỗi trong SQL Server

Hacker có thể lợi dụng hai lỗ hổng bảo mật nghiêm trọng trong phần mềm cơ sở dữ liệu SQL Server của Microsoft để thực hiện các cuộc tấn công từ chối dịch vụ và chạy những đoạn mã nguy hiểm.

Microsoft đã cảnh báo tới người dùng về điểm yếu này và khuyến cáo nên cài ngay bản sửa lỗi.

Những vấn đề trên ảnh hưởng đến SQL Server 2000 và SQL Server 7.0, liên quan tới cách hai phần mềm đó tạo và hiển thị các thông báo sau khi một yêu cầu truy vấn được gửi tới.

Lỗ hổng thứ nhất do lỗi của SQL Server trong việc quản lý bộ nhớ. Nó có thể gây ra hiện tượng tràn bộ đệm, cho phép những kẻ tấn công thực hiện những đoạn mã lệnh nguy hiểm. Trong trường hợp xấu nhất - quản trị viên cơ sở dữ liệu không thực hiện tốt việc phân quyền bảo mật, kẻ tấn công chiếm được quyền điều khiển cơ sở dữ liệu, hay thậm chí cả quyền điều khiển máy chủ. Hacker có thể thêm, sửa, xóa thông tin trong cơ sở dữ liệu, thay đổi các thiết lập trong hệ điều hành, hay cài đặt cửa sau lên hệ thống.

Lỗ hổng thứ hai liên quan đến các hàm của ngôn ngữ lập trình C để định dạng chuỗi văn bản. Phần mềm SQL Server sẽ gọi những hàm này khi chạy trong môi trường Windows NT 4.0, 2000 hoặc hệ điều hành Windows XP. Lỗ hổng có thể cho phép hacker thực hiện tấn công theo kiểu từ chối dịch vụ (DOS).

Minh Nghĩa (theo IDG)