微软周一发布了公告，警告说有些可以公开获取的代码可以被用于攻击SQL Server中没有打补丁的漏洞。

　　在这个公告中，微软警告MS SQL扩展存储程序中已被鉴定的远程代码执行漏洞。这个问题可以引起错误参数检查，对攻击者打开一个漏洞。

　　微软说：“运行任何一个受影响的Microsoft SQL Server软件的所有系统都处于杯这个漏洞攻击的奉献中，而受影响的软件中可以允许恶意用户登录。另外，带有SQLServer后门数据库的Web应用如果存在SQL注入漏洞，它就处于风险中。”

　　微软安全回应中心（MSRC）的回应通信经理Bill Sisk说攻击者可以在系统上以授权用户的身份远程利用漏洞。Sisk说，尽管如此，如果攻击者通过SQL注入攻击Web服务器，他们也可以作为非授权用户利用漏洞。

　　这个关键漏洞影响Microsoft SQL Server 2000、Microsoft SQL Server 2005、Microsoft SQL Server 2005 Express Edition、 Microsoft SQL Server 2000 Desktop Engine (MSDE 2000和WMSDE)以及Windows Internal Database (WYukon)。

　　Sisk在MSRC的博客中说：“我们知道攻击代码已经在互联网上发布了，但是我们还没发现任何想要使用报告的漏洞的攻击。”

　　作为一个工作区，微软建议用户拒绝访问sp_replwritetovarbin存储程序。微软说受影响的存储程序对大部分的用户没有任何影响。

　　SEC Consult的安全咨询人员Bernhard Mueller这个月早期发现了这个漏洞。他公布了T-SQL脚本，来测试漏洞。在他的公告中，Mueller说他九月份收到了微软的邮件，解释说这个漏洞的补丁已经完成了。到目前为止，微软还没有排除非常规补丁的发布。

　　Mueller在公告中说：“通过调用扩展存储程序sp_replwritetovarbin，并提供一些未初始化的变量作为参数，就可能触发内存记录下受控制的位置。”