Llamado Lateral SQL Injection, el ataque descrito por David Llitchfield puede utilizarse para obtener privilegios de administrador en las bases de datos de un servidor Oracle para cambiar o borrar datos e incluso instalar software. Este investigador ya había hablado de este tipo de ataque en el evento Black Hat Washington que tuvo lugar el pasado febrero, pero ahora acaba de publicar los detalles técnicos. En un SQL injection, los atacantes crean términos de búsqueda que engañan a la base de datos para ejecutar otros comandos SQL. Antes, los expertos en seguridad pensaban que las inyecciones SQL sólo funcionaban si el atacante introducía líneas de caracteres en la base de datos pero Litchfield ha demostrado que el ataque puede funcionar usando nuevos tipos de datos, conocidos como tipos de datos numéricos y fechas. El ataque descubierto por este experto tiene como objetivo el lenguaje de programación Procedural Language/SQL utilizado por los desarrolladores de Oracle. Litchfield es conocido por haber publicado los detalles del virus usado en el gusano 2003 SQL Slammer, que atacaba a la base de datos SQL Server de Microsoft. Y aunque no está seguro del alcance de las vulnerabilidades causadas por Lateral SQL injection, sí cree que el ataque podría causar serios daños en ciertos escenarios. “Si estás usando Oracle y sobre ello escribes tus propias aplicaciones, podrías estar escribiendo código vulnerable”, afirma. “El cielo no se caerá pero es algo de lo que la gente tiene que estar consciente”. Por tanto, el consejo de este experto es que los programadores de bases de datos revisen su código para asegurarse de que todos los datos que están procesando es legítimo y no comandos de SQL inyectados. Oracle no se ha pronunciado sobre el tema.