Microsoft подтверждает, что в SQL Server есть уязвимость

Microsoft сообщила что в её программном обеспечении бизнес класса Microsoft SQL Server есть уязвимость, которая может быть использована хакерами для внедрения кода в SQL-запросы. Среди версий, подверженных этой ошибке Microsoft SQL Server 2000 и 2005 и Windows Internal Database. Не подвержены этой ошибке Microsoft SQL Server 7.0 SP4, 2005 SP3 и 2008.

Это та же самая ошибка, о которой SEC Consulting публично сообщала 4 декабря этого года. SEC Consulting несколько месяцев пыталась работать вместе с Microsoft над этой ошибкой, но Microsoft даже не хотела извещать о ней своих пользователей. И по этому SEC Consulting публично сообщила об этой ошибке, как раз перед 9 декабря – днём, когда Microsoft выпускает патчи к своим продуктам. На что Microsoft никак не отреагировала.

И вот, только совсем недавно, Microsoft признала, что в её Microsoft SQL Server есть эта уязвимость. Теперь компания планирует выпустить патч к своему продукту в январе или феврале следующего года.

Microsoft SQL Server – это бизнес движок баз данных. SQL расшифровывается как Structured Query Language (Структурированый Язык Запросов) и он применяется для извлечения данных из баз данных. Хакеры могут использовать уязвимость Microsoft SQL Server для того, чтобы с помощью специальных SQL-запросов включать в базы данных различную информацию, получать доступ к этой информации и искажать записанную в базы данных информацию. При этом SEC Consulting сообщает, что уже есть случаи использования хакерами уязвимости в Microsoft SQL Server.