Microsoft SQL Serevrの脆弱性により、管理者権限のあるユーザーであれば誰でも同サーバアプリケーション内のすべてのユーザーの未暗号化状態のパスワードを閲覧できる可能性がある。データベース(DB)セキュリティ企業のSentrigoが9月2日(現地時間)に報告している。
セキュリティメディアのDarkReadingの記事によれば、SQL Server 2000または2005では、サーバがオンラインとなって以降は動作中のメモリを閲覧することですべてのユーザーの生パスワードが閲覧可能になっているという。SQL Server 2008ではこうした問題が部分的に修正されているものの、ローカルアクセス権限を持つ管理者であればデバッガ等のメモリダンプでパスワードの閲覧が可能だという。管理者権限を必要とするハードルこそあるものの、内部犯等によって悪用される可能性があるとSentrigoでは指摘している。
Microsoftではすでにこの問題に気付いていたものの、直接的な影響はないとしてパッチ等の対策は行わなかったとSentrigoでは説明する。現時点でもパッチがリリースされる計画はなく、Sentrigoではパスワード消去用の無償ツールの配布を決定したという。詳細はSentrigoの専用ページを確認のこと。
