 |
Trụ sở của Oracle tại Mỹ. Ảnh: BW |
ICTnews - Đợt vá này của hãng phần mềm doanh nghiệp lớn nhất thế giới Oracle ít hơn rất nhiều so với các quý trước. Trong tháng 11/2007, công ty đã phát hành 51 miếng vá, tháng 7/2007 là 45.
Oracle có kế hoạch tung ra bản vá cập nhật Critical Patch Update cho các sản phẩm của mình vào ngày 15/1/2008. Bản vá sửa lỗi những tổn thương trong các sản phẩm phức tạp của Oracle. Hôm thứ Năm vừa qua, Oracle cho biết họ dự định vá 27 lỗ hổng bảo mật cho phần mềm doanh nghiệp của mình, gồm Oracle Database, Oracle Application Server, Oracle Collaboration Suite, Oracle E-Business Suite, Oracle Enterprise Manager Grid Control, Oracle PeopleSoft Enterprise PeopleTools và Oracle PeopleSoft Enterprise Human Capital Management.
Oracle cho biết sẽ không có các miếng vá bảo mật cho các sản phẩm JD Edwards. Không một lỗ hổng bào của Oracle Database có thể bị lợi dụng mà không bị nhận dạng, có nghĩa một kẻ tấn công sẽ phải khống chế tên và mật khẩu người sử dụng hợp lệ để lợi dụng các lỗ hổng của cơ sở dữ liệu.
Các quản lý CNTT có thể quan tâm nhiều hơn về những điểm yếu của các sản phẩm khác. 3 trong 7 miếng vá đặc biệt cho Oracle E-Business Suite có thể bị lợi dụng từ xa mà không để lại xác thực. Một trong 4 miếng vá cho các sản phẩm PeopleSoft cũng có thể bị lợi dụng tương tự.
Oracle có thói quen phát hành các bản vá cứ mỗi ba tháng một lần. Kế hoạch trong tháng Một của hãng ít hơn đáng kể so với những quý trước. Trong tháng 11/2007, hãng đã vá 51 lỗ hổng, còn tháng 7/2007, số lỗ hổng được vá là 45.
Các nhà nghiên cứu bảo mật như ở Viện SANS Institute đã chú ý rằng những kẻ tấn công đang tìm kiếm các lỗ hổng trong các ứng dụng doanh nghiệp nhiều hơn chúng đã làm trước đây. Ít nhất, các nhà nghiên cứu bảo mật đang phát hiệốnc nhiều lỗ hổng như vậy hơn: Milw0rm.com, một trang Web công khai các vụ lợi dụng mã, đã đăng 21 vụ lợi dụng lỗ hổng liên quan đến Oracle năm 2007 so với 5 trong năm 2006 và 3 trong năm 2005.
Anh Đào
.svg){kind=icon}
