Auf diese Weise könnten Hacker Daten verändern oder löschen und sogar Software installieren, schreibt Litchfield in seinem Blog. Der Wissenschaftler hatte die Angriffsmöglichkeit erstmals auf der Black-Hat-Konferenz in Washington vorgestellt – nun veröffentlichte er ein Papier mit den technischen Details.
Bei der so genannten SQL-Injection entwickelt der Angreifer speziell entwickelte Suchanfragen – diese manipulieren die Datenbank so, dass sie SQL-Befehle ausführt. Bisher waren Sicherheitsexperten der Meinung, dass dafür eine Zeichenreihe in die Datenbank eingeschleust werden muss. Litchfield hat nun aber gezeigt, dass eine solche Attacke mit Hilfe der Datenbanktypen ‘Type’ und ‘Number’ durchgeführt werden kann.
Litchfield nutzte für seine Attacke die Programmiersprache Procedural Language/SQL, die von Oracle-Entwicklern genutzt wird. Der Forscher konnte keine genaueren Angaben darüber machen, wie verbreitet die neu entdeckte Sicherheitslücke ist – unter gewissen Umständen könne eine entsprechende Attacke jedoch erheblichen Schaden anrichten. Datenbankentwickler sollten deshalb ihren Code hinsichtlich der Verwundbarkeit überprüfen. Von Oracle gibt es derzeit noch keine Stellungnahme zu dem Problem.
Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…
Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…
LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…
Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…
Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…
Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…