微软在周一发布安全公告提醒广大用户,在SQL服务器数据库软件中存在一个严重的漏洞,它存在于一个名为“sp_replwritetovarbin”的储存程序中,会造成一些旧版本的SQL服务器受到远程代码攻击。
维也纳的一家安全咨询公司SEC Consult Security的工程师Bernhard Mueller表示,早在今年4月17日他就通知了微软,但是自从9月29日后微软就不再有任何回应,在十月份和十一月份先后四次请求微软发布安全补丁无果之后,Mueller无奈在12月9日将该漏洞的细节公诸于众。
周三,公司的一位发言人在电子邮件中表示:“微软从今年四月份就开始了对这一漏洞的进行调查。”他补充说,“我们立即展开了对该问题的解决方案的研究。”
据Mueller透露,在9月份,微软曾经通知他,公司已经完成了对该漏洞的修补。但是当问及微软现在是否已经有该漏洞的补丁时,微软发言人没有正面回答,只是称“目前,在微软安全公告961040中列出的受攻击版本无法获得安全补丁。”
微软所谓的“完成了对该漏洞的修补”或许并不是完全虚假的,因为Microsoft SQL Server 7.0 SP4、Microsoft SQL Server 2005 SP3和Microsoft SQL Server 2008都没有受到该漏洞的影响。
但是受攻击的版本是如此多:SQL Server 2000、SQL Server 2005、SQL Server 2005 Express Edition、SQL Server 2000 Desktop Engine (MSDE 2000)、SQL Server 2000 Desktop Engine (WMSDE)和Windows Internal Database (WYukon),希望微软早日发布安全补丁。