Onderzoeker vindt 10 Oracle bugs in 10 minuten
02-03-2007,10:04 door
Beveiligingsonderzoeker Cesar Cerrudor, die in december nog een week van de Oracle bugs wilde organiseren en mogelijk onder de druk van Oracle deze annuleerde, heeft tijdens de Black Hat DC conferentie gedemonstreerd hoe eenvoudig het is om gaten in de databasesoftware te vinden. Tijdens een 10-minuten audit wist hij 10 lekken in Oracle versie 10g R2 te vinden waardoor een aanvaller objecten in de applicatie kan manipuleren.
De bugs waren eenvoudig te vinden via gratis tools als Process Explorer, WinObj, Pipeacl, en Interactive Disassembler (IDA). "De nieuwe versie van Oracle is veiliger dan voorgaande versies, maar dat betekent niet dat het veilig is. Oracle heeft nog steeds veel werk te doen" aldus Cerrudor. Volgens de onderzoeker zou niet alleen Oracle, maar ook andere database software voor dit soort lekken kwetsbaar zijn. Lekken waardoor een denial of service of het uitvoeren van willekeurige code mogelijk is.
De bugs waren eenvoudig te vinden via gratis tools als Process Explorer, WinObj, Pipeacl, en Interactive Disassembler (IDA). "De nieuwe versie van Oracle is veiliger dan voorgaande versies, maar dat betekent niet dat het veilig is. Oracle heeft nog steeds veel werk te doen" aldus Cerrudor. Volgens de onderzoeker zou niet alleen Oracle, maar ook andere database software voor dit soort lekken kwetsbaar zijn. Lekken waardoor een denial of service of het uitvoeren van willekeurige code mogelijk is.
