微软一下“修补”了4个安全缺陷
近日,微软公司发布了4个修正软件中安全缺陷的安全公告,其中最严重的一个安全缺陷可能使黑客完全控制运行SQL Server 2000数据库的计算机系统。
微软公司安全响应小组的经理斯格特表示,这四个安全公告是分别针对SQL Server 2000、Exchange Server和元目录服务的。
最危险的安全缺陷出现在SQL Server 2000的一项新功能中,该功能允许一台服务器运行数据库软件的多个实例,并访问多个信息存储源。
SQL Server 2000软件中的二个安全缺陷都属于缓冲区溢出类型的缺陷。当应用软件不能正确地处理内存时就会出现这样的安全缺陷,通过引发缓冲区安全缺陷,黑客可以在应用程序执行的过程中插入恶意代码。斯格特表示,黑客能够拥有对数据库的全部存取权限。
微软在公告中公布的第三个SQL Server 2000安全缺陷会导致拒绝服务攻击。这一问题是由一条特殊的命令引起的,该命令能够将相同的命令发回给发出这一命令的进程。黑客可以向服务器发送一个请求,然后采取IP地址欺骗措施,使发回的命令发送给另一台SQL Server服务器而不是它自己,服务器之间就会自动地来回发送请求,影响服务器正常的运行。斯格特说,黑客必须首先触发这种信息交换,然后它才能自动进行下去,这一安全缺陷的危险等级仅为中等。
用户可以在微软的安全网站看到相关的公告和下载这些安全缺陷的补丁程序。
微软公司安全响应小组的经理斯格特表示,这四个安全公告是分别针对SQL Server 2000、Exchange Server和元目录服务的。
最危险的安全缺陷出现在SQL Server 2000的一项新功能中,该功能允许一台服务器运行数据库软件的多个实例,并访问多个信息存储源。
SQL Server 2000软件中的二个安全缺陷都属于缓冲区溢出类型的缺陷。当应用软件不能正确地处理内存时就会出现这样的安全缺陷,通过引发缓冲区安全缺陷,黑客可以在应用程序执行的过程中插入恶意代码。斯格特表示,黑客能够拥有对数据库的全部存取权限。
微软在公告中公布的第三个SQL Server 2000安全缺陷会导致拒绝服务攻击。这一问题是由一条特殊的命令引起的,该命令能够将相同的命令发回给发出这一命令的进程。黑客可以向服务器发送一个请求,然后采取IP地址欺骗措施,使发回的命令发送给另一台SQL Server服务器而不是它自己,服务器之间就会自动地来回发送请求,影响服务器正常的运行。斯格特说,黑客必须首先触发这种信息交换,然后它才能自动进行下去,这一安全缺陷的危险等级仅为中等。
用户可以在微软的安全网站看到相关的公告和下载这些安全缺陷的补丁程序。
责任编辑:王玥
相关热点
相关新闻