Begin deze maand deed de softwareus de waarschuwing de deur uit dat IIS in sommige gevallen de broncode laat zien van scripts, die normaal verborgen blijven voor gebruikers (èn hackers). De scripts worden onder meer gebruikt om gebruikersnamen en wachtwoorden te versturen op een website (zie Broncode bijt IIS). Microsoft waarschuwt deze keer voor een mogelijk veiligheidsrisico met de Internet Information Server en de SQL Server die daar aan gekoppeld is. Het blijkt voor hackers in principe mogelijk toegang te krijgen tot de relationele database via de webserver. Om te kunnen inbreken moet een hacker wel over uitgebreide informatie beschikken over de te kraken database en de server, stelt Microsoft vast. En indringers zijn buiten de deur te houden als systeembeheerders de juiste voorzorgsmaatregelen treffen. De problemen doen zich voor als de makers van een website Remote Data Service (RDS) installeren, een onderdeel van de Microsoft Data Access Components, die beheerders in staat stelt om op afstand een database te bedienen via een webbrowser. Het onderdeel wordt automatisch geïnstalleerd als de Internet Information Server 4.0 wordt geïnstalleerd via het NT option pack. Microsoft raadt systeembeheerders aan om de afstandsbediening voor RDS op de webserver uit te schakelen of de interne beveiliging van een netwerk op te schroeven. Het bedrijf blijkt in april al in de Knowledge Base, een vraagbaak voor Microsoft software op zijn website, op de problemen met IIS en SQL Server te hebben gewezen. De Knowledge Base staat bij beheerders en ontwikkelaars niet bekend als het meest doorzichtige naslagwerk: het is moeilijk om de juiste informatie in tienduizenden documenten met technische informatie te vinden. De informatie is nu opnieuw komen bovendrijven omdat Microsoft de waarschuwing heeft rondgestuurd via zijn Security Notification Service, een gratis service per e-mail.