Một nhà nghiên cứu người Đức đã công bố rộng rãi thông tin về những lỗ hổng bảo mật nghiêm trọng trong sản phẩm của Oracle, để chứng minh rằng hãng phần mềm cơ sở dữ liệu này đã thất bại trong việc bảo vệ khách hàng.

Lỗ hổng ảnh hưởng đến Oracle Reports và Oracle Forms - hai phần mềm được tích hợp rộng rãi trong các công cụ doanh nghiệp. Alexander Kornbrust, chuyên gia nghiên cứu của hãng bảo mật Red Database Security (Đức), đã tìm ra những lỗi này và gợi ý một số biện pháp bảo vệ cho đến khi Oracle giải quyết được vấn đề.

Lỗi trong Oracle Forms liên quan đến việc xử lý một biểu mẫu (form) đặt biệt hoặc tham số "module", cho phép khách hàng đăng tải form và chạy câu lệnh với hệ thống quyền ưu tiên của Oracle. Kornbrust khẳng định lỗ hổng này có nguy cơ bị lợi dụng rất cao.

Những lỗi còn lại được tìm thấy trong tham số Oracle Reports, tạo điều kiện cho tin tặc ghi chèn file, đọc và thay đổi nội dung tệp, chạy lệnh nguy hiểm và mở cuộc tấn công XSS (cross site scripting - scripting liên vùng).

Oracle đã chịu khá nhiều chỉ trích về sự chậm trễ trong việc xử lý trục trặc, nhưng hãng phần mềm này vẫn giậm chân tại chỗ với hàng loạt lỗ hổng chưa thể giải quyết. Theo Kornbrust, 6 vấn đề này đã được thông báo riêng cho Oracle từ 2 năm trước, nhưng thái độ của hãng là khó có thể chấp nhận và khiến khách hàng gặp nguy hiểm. "Có ít nhất một trong 6 lỗ hổng nghiêm trọng chắc chắn sẽ bị tin tặc lạm dụng qua Internet trong thời gian tới. Tôi buộc phải công bố rộng rãi thông tin về những vấn đề này do lo ngại nguy cơ bị tấn công cao đối với người sử dụng", Kornburst cho biết.

Tuy nhiên, Oracle bày tỏ nỗi thất vọng khi những thông tin này đã được phổ biến trước khi hãng đưa ra bản vá lỗi, vì "điều đó sẽ đặt khách hàng vào tình trạng đe dọa về bảo mật nghiêm trọng hơn". Giữu tháng 7, hãng cũng đã phát hành bản nâng cấp quý II gồm 49 bản vá nhưng không đề cập đến những lỗ hổng trên.