Daglig leder for britiske Next Generation Security Software, David Litchfield sier til Wall Street Journal at både nåværende og tidligere utgaver av Oracles databaseprogramvare inneholder en mengde sårbarheter, til sammen 34, hvorav flere skal gjøre det mulig for uvedkommende å få tilgang til databasesystemet uten brukernavn og passord. Angriperne skal da blant annet kunne stjele eller endre data.
Ifølge Litchfield har Oracle vært kjent med problemene siden tidlig i år. Han karakteriserer noen av sårbarhetene som kritiske. Flere av dem skyldes overflytsfeil, og enkelte er i PL-SQL-språket, som i mange tilfeller benyttes for å sende kommandoer til databasessystemet.
Les også:
- [01.09.2004] Oracle tetter flere sikkerhetshull
- [15.03.2004] Kritiske sikkerhetshull i Oracle
- [25.07.2003] Flere sikkerhetshull i Oracle-løsninger
- [24.07.2003] Bufferfeil i Oracle gir systemadgang
- [28.01.2003] Sikkerhetsekspert publiserte modell for Slammer-ormen
- [28.01.2003] Microsoft selv rammet av Slammer-ormen
- [27.01.2003] SQL-orm stanset servere og minibanker
Oracles sikkerhetssjef, Mary Ann Davidson, bekrefter overfor Wall Street Journal at sikkerhetshullene eksisterer. Hun forteller videre at selskapet er i ferd med å avslutte utarbeidelsen av sikkerhetsfikser som skal fjerne sårbarhetene. Hun bestrider heller ikke at sårbarhetene er alvorlige.
Litchfield er ifølge Wall Street Journal en av de mest kjente "sårbarhetsjegerne" i verden, ikke minst etter at han slapp kildekode som kunne utnytte en sårbarhet i Microsofts SQL Server. Denne kildekoden ble senere utnyttet for å lage SQL Slammer-ormen.
