Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 23/4/2002
Microsoft udsendte for nylig en rettelse til SQL Server 7 og 2000. Den fjerner en sårbarhed, som enten kan få serveren til at gå ned eller til at udføre kode, en angriber har anbragt.I kommentarerne til sårbarheden skriver Microsoft, at problemet bliver mindre alvorligt, fordi SQL Server-processen kan være sat til at køre med lavere privilegier. I en kommentar til diskussionslisten NTBugtraq skriver Bronek Kozicki imidlertid, at det ikke er korrekt.
Bronek Kozicki hævder, at hvis en angriber har mulighed for at afvikle kode i skikkelse af SQL Server-processen, kan han også få højere rettigheder. Det kræver dog, at processen har ret til at ændre i en bestemt nøgle i registreringsdatabasen. Men så kan angriberen til gengæld komme til at afvikle kode med fulde administratorrettigheder.
DK-CERT har ikke set nogen kommentar hertil fra Microsoft.