Microsoft brengt een advies en een patch uit voor drie kritieke kwetsbaarheden in zijn SQL Server 2000 en de Microsoft Desktop Engine 2000. De ernstigste fout maakt het een aanvaller mogelijk een server over te nemen.
Het bedrijf heeft tegelijkertijd een advies en een patch uitgebracht voor twee andere, minder kritieke fouten in de twee systemen.
Microsoft beschrijft de drie ernstige kwestbaarheden als buffer overflows (twee) en een verminderde weerstand tegen denial of service aanvallen op het niveau van SQL Server. De onderneming dringt er bij iedereen op aan meteen de herstelsoftware toe te passen.
Volgens een analist van SecurityFocus (inmiddels overgenomen door Symantec) is het vanwege de buffer overflow-gaten mogelijk via SQL Server toegang te krijgen tot het systeem zonder autenticatie, zodat het niet eens nodig is een wachtwoord te stelen. De ernstigste van de bugs maakt het mogelijk dat iemand binnenkomt en kwaadaardige software (zoals een achterdeurtje naar het systeem) achterlaat om op een later tijdstip binnen te lopen.
Terwijl Microsoft SQL Server aanprijst als het platform voor bedrijfskritische systemen, is de analist verbaasd over de kwetsbaarheden van de software. Vooral de schade die de computerworm SQL Spider heeft veroorzaakt, liet zien hoeveel SQL Servers zijn geïnstalleerd. Wat hem verontrustte was dat een aantal van die servers niet eens in de gaten wordt gehouden.
