Le ZDE SQL Server, en demi-teintes

Eclipsé par les foudroyantes annonces du ZDE I.E. 7.0 (voir 6.x et 8.0 nous apprend le Sans), un tout autre zéro day touchant un produit Microsoft était annoncé durant la journée du 11. Le PoC, publié par les chercheurs de l’entreprise Australienne SEC Consult, ne semble pas aussi facile à exploiter que son frère siamois. Il nécessite certains préalables, notamment soit une authentification sur la base de données en service, soit une pénétration via un exploit de type Injection SQL via une application Web vulnérable. Reste que ce genre de situation ne relève pas de l’impossible. Il n’existe, pour l’heure, aucun correctif… et aucun exploit relevé « dans la nature ».