Der Software-Konzern Microsoft hat erneut vor einer Sicherheitslücke gewarnt. Diesmal ist die SQL Server 2000 und 2005 betroffen, die oft im Hintergrund von Webseiten zum Einsatz kommen.

Im Internet kursiert bereits der Code eines Exploits, mit dem Angreifer fremden Code in ein System einschleusen können. Dafür muss allerdings entweder ein Weg gefunden werden, sich auf dem jeweiligen Server einzuloggen oder einen SQL-Injection-Angriff zu starten. Konkrete Attacken gab es nach bisherigen Erkenntnissen aber noch nicht.

Auch Nutzer von Desktop-Systemen, auf denen der SQL Server in Verbindung mit Anwendungen läuft, können von dem Problem betroffen sein. Angreifer könnten diesen Schadcode zukommen lassen, der als harmloses Programm getarnt ist.

Der Fehler liegt in der Prozedur "sp_replwritetovarbin", die bei der Replikation von Transaktionen genutzt wird. Den ersten Hinweis auf das Problem veröffentlichte das SEC Consult Vulnerability Lab am 9. Dezember. Dieses hatte Microsoft nach eigenen Angaben bereits im April über die Sicherheitslücke informiert.

Der Fehler wird voraussichtlich mit den ersten Patches im neuen Jahr behoben, die am 13. Januar erscheinen. Bis dahin sollten Administratoren Acht geben und ihre SQL Server vor Angriffen von außen absichern.

Weitere Informationen: Microsoft Security Advisory (961040)