數(shù)據(jù)庫:微軟SQLServer再曝安全漏洞

據(jù)悉，微軟此次承認(rèn)的漏洞和SEC Consulting在今年12月4日報(bào)告的漏洞相同。幾個(gè)月前，SEC便發(fā)現(xiàn)了這個(gè)漏洞，并嘗試和微軟溝通，但微軟卻否認(rèn)了SQL Server中存在有類似漏洞。最后，SEC選擇了在本月的“補(bǔ)丁日”(每月第二個(gè)星期二，也就是12月9日)之前公開了這個(gè)漏洞。但是微軟并沒有于9號(hào)發(fā)布補(bǔ)丁。
    此前，微軟IE瀏覽器曾曝出了0-day漏洞。這使得微軟不得不對(duì)自己軟件的安全性問題重新做一番審視。于是它終于在昨天承認(rèn)了SQL Server漏洞的存在，并表示將會(huì)于明年1月或2月發(fā)布相應(yīng)的補(bǔ)丁。
    SQL是Structured(Standard)Query Language的所寫，含義為結(jié)構(gòu)化查詢語言。SQL Server則是一個(gè)建立在此語言基礎(chǔ)上的數(shù)據(jù)庫服務(wù)軟件。它通過按照一定規(guī)則構(gòu)建的“自然語言”來進(jìn)行數(shù)據(jù)檢索，而非艱深難懂的計(jì)算機(jī)代碼。下面是SQL語言的一個(gè)例子：
    SELECT name, address, phone
    FROM users
    WHERE active = TRUE
    INTO ActiveList
    黑客可以精心構(gòu)建一個(gè)惡意的SQL Server請求，利用這個(gè)安全漏洞實(shí)現(xiàn)注入式攻擊，從而影響數(shù)據(jù)庫系統(tǒng)或網(wǎng)站的正常運(yùn)行，甚至可能導(dǎo)致計(jì)算機(jī)系統(tǒng)用戶賬號(hào)或密碼的泄露，后果非常嚴(yán)重。