Microsoft alerte sur une faille dans SQL Server
Hier soir, 22 décembre, Microsoft a indiqué qu'une faille pouvait être exploitée dans certaines versions de sa base de données SQL Server. Au nombre des versions concernées par ce problème, l'éditeur liste SQL Server 2000, 2005, 2005 Express Edition, SQL Server 2000 Desktop Engine (MSDE et WMSDE), et Windows Internal Database (WYukon). En revanche, les systèmes qui sont équipés de SQL Server 7.0 Service Pack 4, SQL Server 2005 Service Pack 3 et SQL Server 2008 ne sont pas touchés.
Le code permettant d'exploiter cette défaillance a bien été publié sur Internet, mais aucune attaque n'a pour l'instant été signalée. Microsoft travaille avec ses partenaires à la résolution de cette vulnérabilité dans le cadre de ses programmes MAPP (Microsoft active protections program) et MSRA (Microsoft security response alliance).
Trois bugs sérieux en un mois
C'est le troisième bug d'importance débusqué ce mois-ci sur les produits de Microsoft. Il y a quelques jours à peine, l'éditeur a dû livrer un correctif d'urgence pour son navigateur Web Internet Explorer (IE). Au début de ce mois, il a également alerté sur une faille identifiée dans le convertisseur de son éditeur de texte WordPad permettant d'enregistrer les fichiers au format Word 97. Quatre Service Pack de Windows étaient concernés.
Enfin, le fameux « patch Tuesday » du 9 décembre, dernier correctif programmé de l'année avait fourni un record de rustines : 40 Mo pour combler 28 failles, notamment dans Vista et IE.