- Tin tặc hoàn toàn có thể khai thác lỗi SQL Server này để từ xa điều khiển thực thi các phần mềm trái phép trên các máy chủ sử dụng phiên bản phần mềm mắc lỗi. Hiện mã khai thác đã được phát tán rộng rãi trên mạng Internet.
 
Đó là nội dung bản tin cảnh báo bảo mật được Microsoft phát đi cuối giờ chiều ngày hôm qua (22/12) nhằm cảnh báo người dùng về khả năng bùng phát một đợt tấn công website mới thông qua lỗi SQL mới được phát hiện nói trên.
 
Microsoft xác định phiên bản SQL Server mắc lỗi gồm SQL Server 2000 và SQL Server 2005. Các phiên bản Microsoft SQL Server 7.0 Service Pack 4, Microsoft SQL Server 2005 Service Pack 3 và Microsoft SQL Server 2008 hoàn toàn miễn nhiếm lỗi này.
 
Trong khi đó các phiên bản Microsoft SQL Server 2000 Desktop Engine hay SQL Server 2005 Express thường sử dụng trên PC để bàn cũng có thể bị tấn công thông qua lỗi trên.
 
Hiện mã khai thác lỗi đã được phát tán rộng rãi trên mạng Internet. Tuy nhiên Microsoft khẳng định hiện hãng vẫn chưa hề phát hiện bất kỳ trước hợp website nào bị tấn công do lỗi này. Để có thể khai thác thành công lỗi này tin tặc buộc phải tìm được cách đăng nhập cơ sở dữ liệu hoặc thông qua khai thác lỗi SQL Injection thường được phát hiện trên các ứng dụng web.
 
Thực chất lỗi SQL Server trên đây đã được phát hiện từ hồi tháng 4 bởi một hãng bảo mật của Úc có tên là SEC Consult. Chờ đợi mỏi mòn không thấy Microsoft cho khắc phục cuối cùng SEC Consult đã quyết định công bố rộng rãi thông tin lỗi và mã khai thác nhằm gây áp lực cho Microsoft.
 
Đây là lỗi nguy hiểm thứ ba trong các phần mềm của Microsoft được tiết lộ trong tháng này. Cách đây mấy ngày Microsoft đã phải phát hành bản cập nhật khẩn cấp để bít một lỗ hổng cực kỳ nguy hiểm trong Internet Explorer đang bị tin tặc lợi dụng để tấn công người dùng.

Hoàng Dũng - (PC World)

(Theo Vnmedia)