Ошибки вызываются переполнением буфера, SQL-"инъекциями" и другими методами. Использование некоторых из брешей не требует знания имени и пароля пользователя. По словам Литчфилда, он уведомил Oracle о существовании дыр, и корпорация изготовила заплаты еще несколько месяцев тому назад, но пользователи до сих пор их не получили. Как считают в NGSS, такая "скрытность" связана с тем, что в Oracle сначала хотят завершить внедрение новой системы управления заплатами. В самой Oracle наличие указанных дыр подтверждают, обещая опубликовать уведомления о них в ближайшем времени. "Тем не менее, Oracle куда как защищеннее, чем конкурирующие СУБД, - говорит Дон Берлсон, автор нескольких книг по безопасности продуктов Oracle. - Литчфилд сделал поиск брешей в Oracle главным занятием своей жизни, но большинство из них сомнительны и не так просты в обнаружении".

Computerworld, США

Поделитесь материалом с коллегами и друзьями