Phần mềm cơ sở dữ liệu Oracle "bị thủng" lỗ chỗ

Hãng Oracle vừa hứa sẽ nhanh chóng ban hành bản sửa lỗi cho hơn 30 lỗ hổng trong phần mềm CSDL Oracle, được một nhà nghiên cứu bảo mật Anh phát hiện cách đây một tuần. Hiện chi tiết của lỗ hổng vẫn chưa được công bố nhưng nhiều chuyên gia cho rằng mức nguy hiểm của chúng khá cao.

Theo quy định bất thành văn trong giới bảo mật, nếu một cá nhân, tổ chức phát hiện lỗ hổng trong một ứng dụng hoặc hệ thống nào đó, họ sẽ thông báo cho nhà sản xuất trước một khoảng thời gian nhất định trước khi công bố công khai. Tuy nhiên, trong thực tế không phải lúc nào cũng vậy. Chính Microsoft đã không ít lần phải lên tiếng chì trích các chuyên gia bảo mật vì không thông báo lỗ hổng cho hãng trước khi tung toàn bộ chi tiết lên mạng Internet.

Người phát hiện hơn 30 lỗ hổng trên là David Litchfield, giám đốc quản lý hãng phần mềm bảo mật "Next-Generation" (Anh). Các lỗ hổng được phát hiện từ tuần trước, và Litchfield đã thông báo cho Oracle. Ông cũng là người phát hiện một số sai sót nghiêm trọng trong phần mềm CSDL Oracle trong tháng 1/2004.

Theo David Litchfield, một số lỗ hổng trên nghiêm trọng đến nỗi có thể cho phép tin tặc thâm nhập trực tiếp vào hệ thống Oracle ngay cả khi không cần dùng tên và mật khẩu truy cập. Trong một số trường hợp khác, người dùng với quyền hạn chế có thể "leo thang" lên quyền quản trị cao nhất thông qua các sơ hở sẵn có trong hệ cơ sở dữ liệu Oracle.