Computerworld News Service: Microsoft benægtede sent fredag, at sårbarheder i dets web- og SQL Server-software er blevet udnyttet til at hacke hundredtusindvis af internetsider.
"Vores undersøgelser viser, at der ikke er nogen nye eller ukendte sårbarheder, der udnyttes. Denne bølge af angreb er ikke et resultat af sårbarhed i Internet Information Service eller i Microsoft SQL Server," skriver kommunikationschef hos Microsoft Security Response Center, Bill Sisk, i en besked på gruppens blog.
Ifølge Sisk var beskeden en reaktion på forlydender, at over en halv million sider, inklusiv nogle tilhørende FN, er blevet kompromitteret ved hjælp af SQL injections. Når siderne er blevet hacket, er de blevet modificeret til at downloade malware til besøgendes computere.
Beskyldt for sikkerhedsproblem
Tidligt fredag fortalte Panda Security at have gjort Microsoft opmærksom på, hvad virksomheden kaldte et 'sikkerhedsproblem' i Microsofts webserver, Internet Information Services (IIS). Panda gik dog ikke så vidt som at kalde problemet en 'sårbarhed'.
Sisk fortæller grundlæggende, at hackerangrebet består af almindelige SQL injections.
"Problemet relaterer ikke til ISS 6.0, ASP, ASP.Net eller Microsoft SQL-teknologier," hævder han.
Microsofts IIS-team afviser ligeledes, at angrebene skulle være forårsaget af nogen bugs, kendte som ukendte, i dets software.
"For slutbrugere viser undersøgelsen heller ingen indikation på en upatchet sårbarhed i IIS, SQL Server, Internet Explorer eller nogen anden klientsoftware fra Microsoft, så vi anbefaler kunder at påføre de seneste opdateringer for at være beskyttet mod disse angreb," skriver Bill Stables, en ISS produktansvarlig, i en besked på IIS-softwarens supportforum.
Guidelines
Og selv om der har været spekulationer om, at angrebene skulle være relaterede til en sårbarhed, der blev nævnt i et varsel fra 17. april, så afviser Sisk, at det skulle have noget på sig.
"Vi har også fastslået, at disse angreb på ingen måde er relaterede til Microsoft Security Advisory 951306," udtaler han.
Sisk og Staples opfordrer website-udviklere til at følge Microsofts guidelines for at beskytte deres domæner fra SQL injections.
Oversat af Thomas Bøndergaard
