Offene Flanke in Microsoft SQL Server

Eine Schwachstelle in der Speicherverwaltung von Microsoft SQL Server ist wenige Stunden vor der Veröffentlichung der Security Bulletins am Patch Day publik gemacht geworden. Obwohl Microsoft bereits seit April Bescheid weiß und den Fehler auch schon beseitigt haben soll, ist noch kein Update für den SQL Server allgemein verfügbar. Nicht einmal ein Bereitstellungstermin ist in Aussicht.

Der Sicherheitsdienstleister SEC Consult hat am 9. Dezember eine Sicherheitsmitteilung heraus gegeben, die eine Sicherheitslücke in der Speicherverwaltung von Microsoft SQL Server betrifft. Demnach kann ein Angreifer durch den Aufruf einer Prozedur namens "sp_replwritetovarbin" beliebigen Code einschleusen und ausführen.

Dies will SEC Consult mit einem selbst entwickelten Exploit erfolgreich getestet haben. Anfällig sind zumindest Microsoft SQL Server 2000 und 2005, SQL Server 2008 ist bislang nicht getestet worden. Den Exploit-Code hat SEC Consult nicht veröffentlicht und hat dies auch in Zukunft nicht vor.

Microsoft ist bereits im April 2008 über diese Sicherheitslücke informiert worden und soll laut SEC Consult im September einen Patch fertig gestellt haben, der das Problem behebt. Dieses Update ist jedoch bislang noch nicht verfügbar, ein Termin für seine Bereitstellung ist auch noch nicht bekannt.

Außer dieser Sicherheitslücke sind seit dem Patch Day noch Schwachstellen im Internet Explorer und in Wordpad bekannt geworden.