| CVE編號 | CVE-2014-1820;CVE-2014-4061 |
|---|---|
| 影響產品 | 對於所有受支援版本的 Microsoft SQL Server 2008 Service Pack 3、Microsoft SQL Server 2008 R2 Service Pack 2,以及 Microsoft SQL Server 2012 Service Pack 1,此資訊安全更新的等級為「重要」; 對於適用於 x64 型系統的 Microsoft SQL Server 2014,此資訊安全更新的等級也是「重要」。 |
| 解決辦法 | 大部分客戶都已啟用自動更新,並且不必須採取任何行動,因為資訊安全更新將自動下載和安裝。 |
| 張貼日 | 2014-08-12 |
| 上稿單位 | TWCERT/CC |
這個安全性更新可解決 Microsoft SQL Server 中兩項未公開報告的資訊安全風險 (一個是在 SQL Server Master Data Services 中,另一個則在 SQL Server 關聯式資料庫管理系統中)。這些資訊安全風險較嚴重者除了影響 SQL Server Master Data Services 之外,同時如果使用者瀏覽了蓄意製作的網站,而該網站在使用者的 Internet Explorer 執行個體中放入用戶端指令碼,這時就可能允許提高權限。無論如何,攻擊者無法強迫使用者檢視受攻擊者控制的內容, 而是引誘使用者自行前往。一般的做法是設法讓使用者點選電子郵件訊息或 Instant Messenger 中通往攻擊者網站的連結,或設法讓他們開啟經由電子郵件傳送的附件。
此資訊安全更新可修正 SQL Master Data Services (MDS) 編碼輸出的方式,以及 SQL Server 處理 T-SQL 查詢的方式,進而解決這些資訊安全風險。