Microsoft a confirmé cette vulnérabilité dans un avis de sécurité publié hier. Divulguée publiquement avec code exploit, elle affecte Microsoft SQL Server 2000, Microsoft SQL Server 2005, Microsoft SQL Server 2005 Express Edition, Microsoft SQL Server 2000 Desktop Engine (MSDE 2000), Microsoft SQL Server 2000 Desktop Engine (WMSDE) et Windows Internal Database (WYukon). Les systèmes avec Microsoft SQL Server 2008 notamment ne sont par contre pas concernés par la vulnérabilité.
Un risque faible
Malgré la disponibilité sur la Toile du code exploit, Microsoft n'a pour l'instant pas eu vent d'attaques. Selon ComputerWorld, la vulnérabilité qui a été divulguée il y a en réalité déjà près de deux semaines, est due à une erreur au niveau de la procédure sp_replwritetovarbin utilisée lors de la réplication. Un attaquant peut exploiter cette vulnérabilité s'il est authentifié ou tire parti d'une autre vulnérabilité par injection SQL dans une application Web afin de parvenir à cette authentification. Une exploitation qui ne paraît donc pas des plus aisées.
ComputerWorld note qu'il s'agit du troisième bug sérieux divulgué dans un produit Microsoft ce mois-ci, mais contrairement à la vulnérabilité IE ou WordPad, le risque d'attaques semble faible. La correction pourra donc vraisemblablement attendre le 13 janvier 2009, à défaut d'appliquer les mesures de contournement préconisées par Microsoft dans son avis.
