In den letzten Monaten kamen – nach langer Pause – mal wieder zwei Security-Fixes für das Paket "SQL Server". Sie betrafen tatsächlich aber nicht die DAtenbank-Engine, sondern die Werkzeuge außen rum:
Im August wurden im Bulletin MS12-60 eine Reihe von Patches veröffentlicht, die durch einen Fehler in den "allgemeinen Windows-Steuerelementen" aus Office 2003 (KB2687323) und Office 2008 (KB2687441) verursacht wurden. Hier wurde jeweils eine "Remote Code Execution" beseitigt. Offensichtlich werden sie in den älteren Versionen des SQL Servers benutzt, vermutlich im SQL Server Management Studio. SQL Server 2012 ist nicht betroffen.
Im Oktober wurden im Bulletin MS12-70 Patches für alle SQL Server-Versionen veröffentlicht. Hier ist der Fehler in den "SQL Server Reporting Services". Durch den Fehler kann eine "elevation of rights" verursacht werden. Möglicherweise kannte man den Service durch einen Buffer-Overflow oder eine ähnliche Lücke dazu bringen eigenen Code auszuführen.