Nach Angaben von David Litchfield könnten sich Angreifer mit der als "Lateral SQL-Injection" bezeichneten Methode auf einem Oracle-Server die Administratorenrechte verschaffen und so etwa Daten modifizieren beziehungsweise löschen oder sogar Software installieren. Der "Datenbank-Hacker" hatte die neue Angriffsgattung bereits im Februar auf der Black Hat Washington beschrieben und nun technische Details dazu veröffentlicht.

Bei einer SQL-Injection versuchen Angreifer, die Datenbank mit Hilfe speziell manipulierter Suchbegriffe dazu zu bringen, SQL-Befehle auszuführen. Bislang gingen Sicherheitsexperten davon aus, dass dies nur über das Einschleusen von Zeichenketten in die Datenbank zur realisieren ist. Litchfields Attacke hingegen, die auf die von Oracle-Entwicklern genutzte Programmiersprache PL/SQL zielt, soll sich auch mit Hilfe bislang als diesbezüglich unbedenklich erachteter Datentypen ("DATE", "NUMBER") realisieren lassen.

Litchfield ist sich nicht sicher, wie weit die spezifischen SQL-Injection-Schwachstellen verbreitet sind, geht aber davon aus, dass diese Art des Angriffs in einigen Szenarien beträchtlichen Schaden anrichten könnte. "Wer Oracle nutzt und darauf seine eigenen Applikationen schreibt, kreiert möglicherweise verwundbaren Code", so der Experte. Datenbank-Programmierer sollten ihren Code daher überprüfen, um sicherzustellen, dass sämtliche verarbeiteten Daten legitim und nicht etwa injizierte SQL-Befehle sind. (kf)