微软于周二发布最新的安全通报,表示SQL Server存在安全漏洞,可能允许远程程序代码的执行。
微软在最新的961040安全通报中指出,包括SQL Server 2000 / 2005、Server 2005 Express Edition、Server 2000 Desktop Engine (WMSDE),以及Windows Internal Database (WYukon) 皆存有潜在的安全弱点。至于SQL Server 7.0 Service Pack 4、SQL Server 2005 SP3,以及SQL Server 2008则未受影响。
微软表示,发现针对此安全漏洞的攻击程序代码已经在因特网上公开,不过目前尚未发现任何实际的攻击活动,将主动与MAPP(微软主动防护计划)和MSRA(微软安全协同联盟)的合作伙伴充份合作,提供必要的信息进一步保护客户安全。
事实上,这个安全漏洞早于去年四月,就由澳洲安全顾问公司SEC Consult所提出并告知微软,但微软却迟迟未能发布修补程序。因此SEC Consult在几个星期前,揭露此项安全漏洞,并公布可成功执行攻击的程序代码,希望能让微软正视这个问题。
根据SEC Consult的说法,微软已准备修补程序近3个月,但却不愿意发布。这个安全漏洞在于SQL Server的延伸存储程序「sp_replwritetovarbin」,黑客可通过漏洞执行远程程序代码,修改数据库里的真实数据。
微软的安全通报建议使用者拒绝该存储程序的存取,便能让有安全漏洞的系统获得保护。一如以往,微软未保证会发布修补程序,也没有任何的时间表来修正此安全漏洞。
