据悉,微软此次承认的漏洞和SEC Consulting在今年12月4日报告的漏洞相同。几个月前,SEC便发现了这个漏洞,并尝试和微软沟通,但微软却否认了SQL Server中存在有类似漏洞。最后,SEC选择了在本月的“补丁日”(每月第二个星期二,也就是12月9日)之前公开了这个漏洞。但是微软并没有于9号发布补丁。
此前,微软IE浏览器曾曝出了0-day漏洞。这使得微软不得不对自己软件的安全性问题重新做一番审视。于是它终于在昨天承认了SQL Server漏洞的存在,并表示将会于明年1月或2月发布相应的补丁。
SQL是Structured(Standard)Query Language的所写,含义为结构化查询语言。SQL Server则是一个建立在此语言基础上的数据库服务软件。它通过按照一定规则构建的“自然语言”来进行数据检索,而非艰深难懂的计算机代码。下面是SQL语言的一个例子:
SELECT name, address, phone
FROM users
WHERE active = TRUE
INTO ActiveList
黑客可以精心构建一个恶意的SQL Server请求,利用这个安全漏洞实现注入式攻击,从而影响数据库系统或网站的正常运行,甚至可能导致计算机系统用户账号或密码的泄露,后果非常严重。
责任编辑:小草
