基于.Net Core开发现代化Web应用程序系列课程第1课之:课程简介
利用此漏洞的攻击代码已经发布,但微软表示,它还没有看到此代码用于在线攻击。微软表示,如果犯罪分子以某种方式登录到系统中,那么数据库服务器可能会受到攻击,并且遭受相对常见的SQL注入漏洞攻击的Web应用程序可能被用作攻击后端数据库的垫脚石。
[更多阅读:如何从Windows PC中删除恶意软件]
微软表示,运行Microsoft SQL Server 2000桌面引擎或SQL Server 2005 Express的桌面用户在某些情况下可能会面临风险。在名为“sp_replwritetovarbin”的存储过程中,微软软件在复制数据库事务时使用该过程。它于12月9日由SEC Consult Vulnerability Lab公开披露,该实验室表示它已于4月向Microsoft通知了该问题。
“带有Microsoft SQL Server 7.0 Service Pack 4,Microsoft SQL Server 2005 Service Pack 3和Microsoft SQL的系统Server 2008不受这个问题的影响,“微软在其咨询报告中称,这是微软软件在过去一个月内披露的第三个严重漏洞,但它不可能用于广泛的攻击。 DigiTrust Group,一家安全咨询公司的专业服务总监Maiffret。 “由于存在其他漏洞,风险相当低,”他通过即时消息表示。 “目前有很多更好的方式来破坏Windows系统。”在看到越来越多的在线攻击中使用Internet Explorer漏洞之后,微软上周三就此问题赶出了紧急补丁。该公司表示,它还看到了“有限且有针对性的攻击”,它利用WordPad文本转换器中的Word 97文件中的严重错误。与SQL bug一样,这个写字板转换器漏洞还没有被修补,但它是微软即将于1月13日发布的安全更新中修复的主要人选。