Microsoft khẩn trương sửa lỗi SQL Server

Hôm qua (24/12) Microsoft khẳng định đang khẩn trương tìm giải pháp khắc phục lỗi bảo mật nguy hiểm trong SQL Server song từ chối tiết lộ chính xác thời điểm sẽ phát hành bản sửa lỗi.

Lỗi SQL Server này đã được hãng bảo mật SEC Consult phát hiện và cảnh báo Microsoft từ hồi tháng 4 nhưng không hiểu vì sao mà hãng không cho khắc phục sớm. Cuối cùng SEC Consult đã quyết định công bố thông tin lỗi cùng mà khai thác nhằm gây áp lực cho Microsoft.

Kết quả là đầu tuần này Microsoft đã phải phát đi bản tin cảnh báo người dùng về lỗi bảo mật SQL Server này và đến hôm qua đã phải chính thức xác nhận đang tiến hành phát triển bản sửa lỗi. Những động thái này đều được xem là để trấn an khách hàng sử dụng SQL Server.

Một người phát ngôn của Microsoft khẳng định: “Ngay sau khi nhận được thông tin về lỗi hồi tháng 4 vừa qua Microsoft đã lập tức khởi động tiến trình điều tra chi tiết và tìm giải pháp khắc phục”.

Ông Bernhard Mueller – một chuyên gia nghiên cứu bảo mật của SEC Consult – cho biết hồi tháng 9 Microsoft đã một lần gửi thông báo cho biết đã hoàn thiện được bản sửa lỗi. Song người phát ngôn của Microsoft lại khẳng định: “Tại thời điểm hiện tại vẫn chưa có bất kỳ bản cập nhật sửa lỗi nào cho lỗi SQL Server nói trên”.

Hầu hết các chuyên gia bảo mật đều hi vọng Microsoft sẽ phát hành bản sửa lỗi cho SQL Server như một bản cập nhật bảo mật khẩn cấp – tương tự như bản sửa lỗi cho Internet Explorer phát hành gần đây – thay vì phát hành chung cùng bản cập nhật định kỳ tháng 1/2009.

Wolfgang Kandek – Giám đốc công nghệ của Hãng bảo mật Qualys Inc. – cho rằng lỗi SQL Server có tính chất nguy hiểm hơn rất nhiều so với lỗi trong IE. “SQL Server là một phần tối quan trọng trong nền tảng cơ sở hạ tầng cốt lỗi máy chủ của doanh nghiệp. Nếu không được sửa sớm không chỉ doanh nghiệp mà cả người dùng thông thường sẽ phải đối mặt với rất nhiều nguy cơ”.

Microsoft khuyến cáo người dùng nên vô hiệu hóa mọi quyền truy cập tới thủ tục SQL có thể bị lợi dụng để mở đường tấn công trực tiếp vào lỗi ứng dụng.

Ngoài ra Microsoft cũng cung cấp một đoạn Visual Basic Script giúp tự động hóa thực hiện giải pháp nói trên. Người dùng có thể tham khảo thêm thông tin về script và biện pháp khắc phục này tại đây.