Oracle пообещала в ускоренном порядке ликвидировать более 30 уязвимостей в cвоем ПО, некоторые из которых были обнаружены еще в январе этого года и, по мнению специалистов, являются критическими.
Британский эксперт в области инфобезопасности Дэвид Литчфилд (David Litchfield), управляющий директор компании Next-Generation Security Software, обнародовал информацию о выявленных им проблемах с обеспечением безопасности продуктов Oracle на прошлой неделе. Он не стал подробно описывать обнаруженные уязвимости, чтобы ими не воспользовались злоумышленники. «Дыры» имеют разную степень критичности – от высокой до низкой, от переполнения буфера и динамически распределяемой области до плохой защиты паролей. В отдельных случаях доступ к системе можно получить, вообще не вводя имени пользователя либо пароля. Пользователь с ограниченными правами доступа к системе может поэтапно повысить свой статус до уровня администратора.
Впервые г-н Литчфилд проинформировал Oracle о выявленных в ее ПО «дырах» еще в январе 2004 года, однако, несмотря на постоянные напоминания, корпорация до сих пор не выпустила ни одного исправления для указанных им проблем.
Дэвид Литчфилд начал активно следить за проблемами с безопасностью Oracle два года назад, когда компания начала маркетинговую кампанию под девизом Unbreakable - «неуязвимая», стремясь подчеркнуть высокий уровень защищенности своей СУБД. Тогда г-н Личфилд, по его собственным словам, с помощью нескольких коллег менее чем за сутки выявил в продуктах корпорации около полусотни «дыр».
«Очевидно, не очень мудро для Oracle рекламировать собственные продукты как «неуязвимые», - полагает он. – Я знаю, что при этом удивленно вскидывают брови даже сотрудники компании. Однако маркетинг не всегда консультируется с разработчиками перед тем, как делать публичные заявления».
По словам британского эксперта, каждый, кто затратит время на изучение списков уже выпущенных компанией обновлений системы безопасности, сможет составить представление о степени уязвимости ее продуктов. Однако нежелание Oracle взглянуть правде в глаза вполне аналогично поведению большинства конкурентов компании, включая Microsoft, IBM, и многих других «китов» ИТ-рынка. Эксперт заметил, что в этом плане Oracle могла бы многое почерпнуть у Microsoft в плане лексики. «Microsoft традиционно является большой мишенью, - заметил он, - и несет от этого значительный ущерб. Однако Microsoft сумел выработать более эффективный подход к разрешению этих проблем и в настоящее время обошел остальных игроков на рынке по своей способности адекватно реагировать на возникающие проблемы».
Представители Oracle, в свою очередь, пообещали справиться с обнаружившимися проблемами в самом ближайшем будущем. «Oracle очень серьезно подходит к вопросам безопасности и, хотя мы и надежно обеспечиваем защищенность наших продуктов, всегда стремимся делать это как можно лучше, - говорится в специальном заявлении компании. – Oracle уже ликвидировала проблемы, и в ближайшее время будет выпущено соответствующее предупреждение». «Заплатку» для критической уязвимости, обнаруженной в пакете Oracle 11i E-Business Suite, компания выпустила в июне этого года.
|
