吳明宜微軟已證實SQL Server資料庫軟體出現新的弱點,可能對使用者形成重大安全威脅。
微軟已證實 SQL Server 資料庫軟體出現新的弱點,可能對使用者形成重大安全威脅。
「微軟發覺本公告解決的弱點,已有攻擊程式碼公佈於網路上,」該公司週一發出安全公告指出。
駭客可利用這些程式碼存取或更改以 SQL Server 建構的公司資料庫。惡意程式碼可能造成遠端程式碼執行,例如,駭客不用坐在銀行後台,也可以修改銀行帳戶的數字。
微軟表示,SQL Server 2000, SQL Server 2005, SQL Server 2005 Express, SQL Server 2000 Desktop Engine 及 Windows Internal Database (WYukon) 都可能遭受威脅。但該公司補充,目前還沒有看到任何實際攻擊情形發生。
不過這波威脅不會影響到 SQL Server 7.0 Service Pack, SQL Server 2005 Service Pack 3 或 SQL Server 2008,微軟指出。
「該項弱點並沒有全面性影響。攻擊者必須要能取得權限,或是利用已經過身份認證的 Web 應用的 SQL injection 弱點才能逞其企圖。」微軟安全公告指出。
該公司表示會持續監控與研究這項弱點,必要時將透過每月定期安全更新或特別下載發佈安全修補程式。
同時,微軟也建議認為自己有受安全攻擊之虞的客戶聯絡微軟客服或是聯邦調查局(FBI)及網際網路犯罪投訴中心(Internet Crime Complaint Center)。