Oracle vá rồi mà vẫn … rách

Một chuyên gia bảo mật vừa mới cảnh báo những bản vá cập nhật mới nhất của Oracle đã thất bại trong việc khắc phục một lỗi bảo mật nghiêm trọng trong ứng dụng cơ sở dữ liệu này.

Cuối tuần trước, Oralce đã cho phát hành bản cập nhật định kỳ hàng quí Critical Patch Update nhằm khắc phục hơn 30 lỗi phát sinh trong các sản phẩm của hãng. Tuy nhiên, những miếng vá cập nhật dành cho Oracle 10g Release 2 lại không thể khắc phục được một lỗ hổng trong ứng dụng có thẻe cho phép các vụ tấn công thực thi đoạn mã từ xa.

Đây là những thông tin đã được David Litchfield - một chuyên gia nghiên cứu của Next Generation Security Software – công bố thông qua danh sách email bảo mật Full Disclose.

Không những khi đoạn mã khai thác được phát tán rộng rãi trên Internet từ cuối tuần trước không nhằm tấn công một lỗ hổng đã được Oracle khắc phục mà lại nhằm vào một vấn đề khác. Bước đầu, các chuyên gia đã tin rằng đoạn mã độc hại đó lại khai thác một trong số những lỗ hổng được Oracle khắc phục.

Các kẻ tấn công vẫn có thể đoạt được quyền truy cập cao hơn vào một hệ thống thông qua một lỗ hổng mới trong DBMS export extension của ứng dụng cơ sở dữ liệu Oracle.

Các phiên bản khác ngoài phiên bản Oracle 10g cũng có thể bị mắc lỗi này, hãng bảo mật Symantec đã cảnh báo.

Oracle chưa có bất kỳ lời bình luận chính thức nào về vấn đề này. Trong ki đó các chuyên gia bảo mật vẫn liên tục lên án Oracle do sự chậm trễ cũng như không thực hiện tốt việc khắc phục các lỗi bảo mật.

HVD - (CNet)