微軟目前正在調查一個存在於SQL Server中的新漏洞。攻擊代碼已被公開，但是目前沒有已知的攻擊事件發生。

目前微軟已經發佈安全建議961040（http://www.microsoft.com/technet/security/advisory/961040.mspx），並且提供了一些應急措施供用戶參考。微軟目前正在積極研究該漏洞，並且會提供進一步的解決方案。
目前所知 SQL影響範圍:

n Microsoft SQL Server 2000 Service Pack 4

n Microsoft SQL Server 2000 Itanium-based Edition Service Pack 4

n Microsoft SQL Server 2005 Service Pack 2

n Microsoft SQL Server 2005 x64 Edition Service Pack 2

n Microsoft SQL Server 2005 with SP2 for Itanium-based Systems

n Microsoft SQL Server 2005 Express Edition Service Pack 2

n Microsoft SQL Server 2005 Express Edition with Advanced Services Service Pack 2

n Microsoft SQL Server 2000 Desktop Engine (MSDE 2000) Service Pack 4

n Microsoft SQL Server 2000 Desktop Engine (WMSDE)

n Windows Internal Database (WYukon) Service Pack 2

不受影響的軟體:

n Microsoft SQL Server 7.0 Service Pack 4

n Microsoft SQL Server 2005 Service Pack 3

n Microsoft SQL Server 2005 x64 Edition Service Pack 3

n Microsoft SQL Server 2005 with SP3 for Itanium-based Systems

n Microsoft SQL Server 2008

n Microsoft SQL Server 2008 x64 Edition

n Microsoft SQL Server 2008 for Itanium-based Systems

應對措施

财 對於SQL Server 7.0和2005的用戶，請升級到最新的Service Pack可以避免受到攻擊。

财 該漏洞無法被匿名利用。攻擊者必須擁有有效用戶身份，或者通過存在漏洞的Web應用進行SQL注入。

财 請參考安全建議961040中提供的應急措施（Workarounds），酌情部署。如果對文中內容有任何疑問，請隨時聯繫微軟。

财 微軟資安小組會通過SGC管道提供最新進展，請注意查收微軟發出的郵件。

FAQ

Q: 這是一個需要微軟發佈安全更新的安全性漏洞嗎？

A: 目前資安小組調查的結果顯示， 只要依照微軟建議的方式採取措施保護，便不會影像到系統的運作。資安小組會持續追蹤後續的狀況決定發佈緊急更新通知。

Q: 導致漏洞的原因是什麼？

A: 在儲存過程sp_replwritetovarbin中對參數的檢查存在問題，可以導致已驗證的用戶執行任意代碼。

Q: 如何識別 SQL Server 的版本
請上網站查詢http://support.microsoft.com/kb/321185