Une vulnérabilité qui affecterait Microsoft SQL Server 2000 et 2005 divise Microsoft et l’éditeur Sentrigo quant à son importance. Le premier refuse de publier un correctif, tandis que le second estime que cela serait nécessaire.

Découverte par Sentrigo – un éditeur de solutions de sécurité des bases de données – en septembre 2008, la vulnérabilité permettrait à un administrateur système Windows d’avoir accès à tous les mots de passe de tous les comptes utilisateurs capables d’accéder à la base de données.

Pour Microsoft, le problème est mineur car les données ne sont pas à risque : après tout, un administrateur dispose déjà d’accès complet, pourquoi aurait-il besoin de connaître les mots de passe d’autres utilisateurs de la base de données ?

Sentrigo oppose cependant que beaucoup d’applications étant déployées avec les droits administrateur, une simple SQL injection réussie dans une telle application permettrait d’exploiter cette vulnérabilité afin de glaner une série de mots de passe d’administration utilisables par ailleurs. L’éditeur fait d’ailleurs remarquer que de nombreux utilisateurs n’ont qu’un nombre réduit de mots de passe (6,5 en moyenne contre 25 nécessaires d’après une étude de Microsoft), ce qui ouvrirait la porte à d’autres attaques, sur d’autres applications.

Microsoft et Sentrigo ne parvenant pas à s’entendre sur le sérieux de cette vulnérabilité (malgré un an de discussion tout de même !), ce dernier a décidé de publier un outil de protection supplémentaire, gratuit, baptisé Passwordizer et disponible sur son site.