Na beveiligingslekken waar nog geen patch voor is in Internet Explorer 7 en WordPad, is het nu de beurt aan MS SQL Server 2000 en 2005. Er is een lek gevonden dat aanvallers de mogelijkheid geeft om "zelfgebakken" code te laten uitvoeren in de server. Volgens de beveiligingsexperts van SEC Consult, wordt het probleem veroorzaakt door een bug in het geheugenbeheer van het programma.

Het succes van een aanvaller hangt echter af van de gebruikte Windows versie. SEC zegt dat het een exploit heeft ontworpen die met succes malafide code naar een testmachine stuurt. Naast geauthenticeerde gebruikers is het lek in theorie ook via SQL-injectie te misbruiken. Het bedrijf zegt dat Microsoft sinds april al op de hoogte is, maar ondanks de belofte om in september een patch uit te brengen, is een definitieve datum nog altijd onbekend. SEC raadt beheerders aan om de kwetsbare procedure te verwijderen.