L'explication donnée par Microsoft : SQL Server ne gère pas correctement l'appel de fonctions internes à la mémoire non initialisée : un utilisateur authentifié pourrait exploiter cette vulnérabilité en exécutant une requête spécialement conçue pour exécuter une fonction interne à partir d'une adresse erronée et prendre ainsi le contrôle complet du système.

La mise à jour de sécurité sera appliquée par Microsoft Update ou bien directement téléchargée sur le site de téléchargement Microsoft. Vous trouverez toutes les informations dans les articles suivants (en anglais) :

Microsoft Security Bulletin MS15-058 - Important (site technet)

MS15-058 SQL Server Security Bulletin Released (SQL Release Services Blog)

MS15-058: Vulnerabilities in SQL Server could allow remote code execution: July 14, 2015 ( Knowledge Base)