微軟警告SQLServer存在安全漏洞

微軟公司稱，公司推出的SQL Server數(shù)據(jù)庫中存在有兩處安全漏洞，這將使得其產(chǎn)品極易遭到拒絕服務(wù)攻擊，為黑客執(zhí)行惡意代碼“提供便利條件”。
    微軟在發(fā)布的安全公告中指出，這兩個安全漏洞會影響SQL Server 2000和SQL Server 7.0，影響方式主要與SQL Server在收到請求后創(chuàng)建和顯示文本信息的方式有關(guān)，微軟分別把這兩個安全漏洞的危險等級定為“中等”和“低”。
    據(jù)安全公告稱，第一個漏洞比較嚴重，由限制文本尺寸的SQL Server文本生成函數(shù)運行失敗后引起的。該漏洞會導(dǎo)致所謂的內(nèi)存溢出故障，從而使黑客能在系統(tǒng)中執(zhí)行惡意代碼。黑客對系統(tǒng)的破壞程度取決于系統(tǒng)管理員配置的系統(tǒng)安全參數(shù)。情況最遭時，黑客能夠取得“對數(shù)據(jù)庫，甚至是服務(wù)器”的重要控制權(quán)，并能“添加、刪除或改變數(shù)據(jù)庫中的數(shù)據(jù)，甚至重新配置操作系統(tǒng)、安裝新軟件，或者格式化硬盤?！?BR>    第二個安全漏洞與格式化文本字符串的C運行庫函數(shù)有關(guān)。在Windows NT 4.0、Windows 2000或Windows XP上運行時，數(shù)據(jù)庫會調(diào)用這些字符串。微軟稱，這一安全漏洞極易使數(shù)據(jù)庫遭受拒絕服務(wù)的攻擊。C運行時間庫是一系列支持用C語言編程的可執(zhí)行代碼。當接受格式化字符串用來打印的函數(shù)在使用這些字符串前無法正確地確認它們有效時，就會導(dǎo)致“格式化字符串”安全漏洞。
    微軟建議，所有運行SQL Server 7.0和SQL Server 2000的系統(tǒng)都需要安裝第一個安全漏洞的補丁程序。只有極有可能受到攻擊的系統(tǒng)才需要安裝第二個補丁程序，因為該補丁程序本身還有缺陷，建議用戶等待發(fā)布下一款SQL Server服務(wù)包。