Hacker ziet af van publicatie Oracle-bugs
Gepubliceerd: Vrijdag 1 december 2006
Auteur: Niels de Rijk
Cesar Cerrudo ziet af van zijn plan om in navolging van de 'maand van de kernel bugs' een week lang lekken in de Oracle-database te publiceren. Een precieze reden wil hij niet geven.
Cerrudo, oprichter van het in Buenos Aires gevestigde beveiligingsbedrijf Argeniss, zegt 'wegens vele problemen' af te zien van de publicatie van zero day-lekken. Welke problemen dat zijn, laat hij achterwege.
De hacker kondigde vorige week aan een week lang zero-day lekken te willen publiceren, om te laten zien dat de beveiliging van Oracle-producten 'de laatste jaren niet verbeterd is'. "We willen mensen laten zien hoe (on)veilig de software van Oracle is", aldus Cerrudo.
Of Cerrudo door Oracle is benaderd, is niet bekend. In een posting op het Global Product Security Blog van Oracle, woensdag, liet een beveiligingsmanager van Oracle zich nog wel kritisch uit over onderzoekers die voor het verschijnen van een fix details over een zero-day-bugs publiceren.
Oracle is de laatste week negatief in het nieuws. Zo claimde een beveiligingsonderzoeker dinsdag een aanvalsmethode ('dangling cursor snarfing') te hebben ontdekt waarmee hackers sql-injecties kunnen uitvoeren of gevoelige informatie in Oracle-databases kunnen onderscheppen.
Eerder deze week verscheen nog een onderzoek van Next Generation Security Software (NGSS). Hieruit bleek dat database van Oracle sinds eind 2000 bijna vier keer zo vaak getroffen is door een beveiligingslek dan de database van Microsoft.
Bron: Techworld
