Oracle пообещала в ускоренном порядке ликвидировать более 30 уязвимостей в cвоем ПО, некоторые из которых были обнаружены еще в январе этого года и, по мнению специалистов, являются критическими.
Британский эксперт в области инфобезопасности Дэвид Литчфилд (David Litchfield), управляющий директор
компании Next-Generation Security Software, обнародовал информацию о выявленных им проблемах с обеспечением безопасности продуктов Oracle на прошлой неделе. Он не стал подробно описывать обнаруженные уязвимости, чтобы ими не воспользовались злоумышленники. “Дыры” имеют разную степень критичности – от высокой до низкой, от переполнения буфера и динамически распределяемой области до плохой защиты паролей. В отдельных случаях доступ к системе можно получить, вообще не вводя имени пользователя либо пароля. Пользователь с ограниченными правами доступа к системе может поэтапно повысить свой статус до уровня администратора.
Впервые г-н Литчфилд проинформировал Oracle о выявленных в ее ПО “дырах” еще в январе 2004 года, однако, несмотря на постоянные напоминания, корпорация до сих пор не выпустила ни одного исправления для указанных им проблем.
Дэвид Литчфилд начал активно следить за проблемами с безопасностью Oracle два года назад, когда компания начала маркетинговую кампанию под девизом Unbreakable – “неуязвимая”, стремясь подчеркнуть высокий уровень защищенности своей СУБД. Тогда г-н Личфилд, по его собственным словам, с помощью нескольких коллег менее чем за сутки выявил в продуктах корпорации около полусотни “дыр”.
“Очевидно, не очень мудро для Oracle рекламировать собственные продукты как “неуязвимые”, – полагает он. – Я знаю, что при этом удивленно вскидывают брови даже сотрудники компании. Однако маркетинг не всегда консультируется с разработчиками перед тем, как делать публичные заявления”.
По словам британского эксперта, каждый, кто затратит время на изучение списков уже выпущенных компанией обновлений системы безопасности, сможет составить представление о степени уязвимости ее продуктов. Однако нежелание Oracle взглянуть правде в глаза вполне аналогично поведению большинства конкурентов компании, включая Microsoft, IBM, и многих других “китов” ИТ-рынка. Эксперт заметил, что в этом плане Oracle могла бы многое почерпнуть у Microsoft в плане лексики. “Microsoft традиционно является большой мишенью, – заметил он, – и несет от этого значительный ущерб. Однако Microsoft сумел выработать более эффективный подход к разрешению этих проблем и в настоящее время обошел остальных игроков на рынке по своей способности адекватно реагировать на возникающие проблемы”.
Представители Oracle, в свою очередь, пообещали справиться с обнаружившимися проблемами в самом ближайшем будущем. “Oracle очень серьезно подходит к вопросам безопасности и, хотя мы и надежно обеспечиваем защищенность наших продуктов, всегда стремимся делать это как можно лучше, – говорится в специальном заявлении компании. – Oracle уже ликвидировала проблемы, и в ближайшее время будет выпущено соответствующее предупреждение”. “Заплатку” для критической уязвимости, обнаруженной в пакете Oracle 11i E-Business Suite, компания выпустила в июне этого года.