São Francisco - Brecha, publicada no site de suporte da companhia, atinge as versões 9i e 10g do aplicativo Oracle Database e ainda não tem correção.
A Oracle divulgou acidentalmente detalhes sobre uma vulnerabilidade de segurança não corrigida em seu software de banco de dados, incluindo códigos de amostra que podem ser usados para explorar o problema. Detalhes sobre a falha foram publicados na última quinta-feira em uma nota que foi temporariamente encontrada no portal de suporte para clientes da Oracle, Metalink.

A comunidade de segurança soube sobre a vulnerabilidade na segunda-feira passada quando o pesquisador Alexander Kornbrust publicou um aviso sobre a situação no grupo de discussão Full Disclosure. A Oracle removeu a informação na sexta-feira, após ser informada dos riscos de segurança associados com a nota no Metalink, disse Kornbrust, um diretor de negócios da companhia Red-Database-Security GmbH.

A Oracle está planejando corrigir o problema, disse a companhia nesta segunda. "A Oracle está ciente da informação que foi publicada no Full Disclosure sobre uma vulnerabilidade nos banco de dados Database 9i e Database 10g da companhia. Esperamos providenciar aos clientes um patch que corrige a falha na próxima Atualização Crítica", revelou uma porta-voz da companhia nesta segunda.

O próximo patch de atualização de segurança da Oracle está programado para o dia 18 de abril.

Para conseguirem explorar o problema, hackers precisariam primeiro ter uma conta no banco de dados da Oracle, tornando o problema difícil de ser explorado pela web. No entanto, ao criar buscas específicas, usuários do banco de dados que conseguiriam apenas ler dados conseguiriam editar as informações apresentadas.

A vulnerabilidade afeta da versão 9.2.0.0 à 10.2.0.3 do banco de dados da Oracle rodando em qualquer sistema operacional.

Kornbrust publicou uma série de trabalhos sobre o problema, que ele não acredita ser corrigido na atualização de segurança da Oracle em abril.

O pesquisador de segurança disse que decidiu tornar a informação sobre a vulnerabilidade pública já que um número suficiente de pessoas já viu a nota no MetaLink que informa sobre o risco de segurança para usuário da Oracle.

É irônico que a fonte original dessa falha não corrigida, chamada de Dia 0 nos termos hackers, foi a própria Oracle, ainda mais pelas críticas do passado da empresa às consultorias que revelavam tais vulnerabilidade, disse Kornbrust. "Eles não podem culpar os pesquisadores de segurança desta vez", disse.

A Oracle não quis comentar como chegou a divulgar informação tão importante, mas Norkbrust especulou que foi tanto o motivo foi um erro no suporte da organização. "Parece para mim que alguém do suporte da Oracle encontrou informações sobre essa falha e não estava ciente que era uma questão de segurança", analisou. "Acho que o pobre funcionário que publicou a informação o fez tentando ajudar as pessoas".

http://idgnow.uol.com.br/seguranca/2...DGNoticia_view