Schon während meines Urlaubes bemerkte ich, dass Microsoft mit dem "Microsoft Security Bulletin MS08-052" einen weiteren Hotfix zum SQL-Server-2005 rausbrachte. Aber weil es sich dabei nur um ein Problem in der Datei "Gdiplus.dll" (Windows GDI+) handelt, sind nur die Werkzeuge des SQL-Servers betroffen, genauer vorwiegend das "SQL Server Management Studio". Deswegen gibt es den Hotfix auch nicht für die SQL-Server-Express-Edition ohne Tools. Wie ich nun hörte, macht Microsoft da einen riesen Wirbel drum.
Eigentlich würde es wohl ausreichen, wenn Microsoft die eine DLL austauscht. Statt dessen liefern die Genossen den kompletten CU9 mit 145 MBytes per Windows-Updates aus. Starke Leistung. Und so gut mitgedacht.
Die DLL wird übrigens auch noch noch im Windows, Visual-Studio, Office und Visio mitgebracht und jeweils in separaten Paketen gefixt. Auf meinem heimischen Rechner fand ich in 15 Verzeichnissen Exemplare der Datei. Aber im SQL-Server-Verzeichnis nicht. Schon komisch.
Immerhin sind die gefixten Probleme recht spektakulär: man kann durch manipulierte Bild-Dateien eine Code-Execution reinschmuggeln (in BMP-, WMF-, GIF- und EMF-Dateien, sowie durch Farbverläufe, die auf VML basieren). Klar, mit den SQL-Server-Werkzeugen werden ja auch so viele Bilder angezeigt. Gibt es überhaupt eine Stelle, in den SQL-Server-Tools, die Bild-Dateien des Anwenders anzeigen? Das muss ich verpasst haben. Ich vermute, man muss schon Dateien des SQL-Servers austauschen. Was aber ohnehin nur Admins dürfen.