De exploit, verpakt in de vorm van een proof-of-conceptworm, dook maandag op in de Full Disclosure-mailinglijst. De verzender, die anoniem wil blijven, verzond zijn mail onder de subjectregel "Trick or treat Larry".

De exploit is in zijn huidige vorm onschuldig: er wordt slechts een nieuwe tabel in de database gecreëerd. Maar de exploit heeft de potentie om uit te groeien tot een veel grotere bedreiging, aldus beveiligingsexperts.

Volgens Alexander Kornburst, beveiligingsspecialist bij het Duitse Red-Database-Security, kan de code zo worden aangepast dat de gegevens in de database worden gewijzigd, verwijderd of gestolen.

Dit is de eerste keer dat een Oracle-worm in het wild opduikt, stelt Kornburst. "Hackers die informatie willen stelen uit een Oracle-database, richten zich gewoonlijk op een specifieke database."

Aan het effect van de worm mag worden getwijfeld: de meeste Oracle-databases zijn namelijk niet verbonden met internet. Kwaadwillenden zullen, om de worm zijn werk te laten doen, eerst toegang moeten hebben tot het lan waarin de database draait.

Een ander 'voordeel' is dat de worm misbruik maakt van de standaardwachtwoorden die door Oracle worden verstrekt. Alleen gebruikers die hun wachtwoord niet hebben vervangen zijn dus vatbaar. Kornburst schat echter dat ongeveer de helft van alle Oracle-klanten op minimaal één database toch nog een standaardwachtwoord gebruikt.