Kwaadwillenden blijken met gemanipuleerde queries gegevens te kunnen wijzigen in Oracle-databases (versies 9.2.0.0 tot 10.2.0.3). Ze hebben daarvoor alleen toegang nodig tot een 'alleen-lezen'-account. Een voorbeeld van een exploit-code stond vorige week een dag lang op Metalink, de supportsite van Oracle. Vermoedelijk was een supportmedewerker niet helemaal op de hoogte van de veiligheidsrisico's. Oracle greep in en haalde de exploit eind vorige week offline. De Duitse beveiligingsexpert Alexander Kornbrust vindt het ironisch dat Oracle zelf verantwoordelijk is voor de publicatie van de exploit. De databasefabrikant uitte voorheen altijd kritiek op beveiligingsonderzoekers die voor het verschijnen van een patch al met informatie kwamen. "Deze keer kunnen ze de schuld niet meer bij een ander leggen." Kornburst heeft inmiddels een advisory op de Full Disclosure-lijst gepubliceerd. Oracle zegt momenteel aan een patch te werken. "We zijn op de hoogte van de informatie op de Full Disclosure-lijst", aldus een woordvoerster. "De problemen zullen worden geadresseerd in onze volgende Patch Update." Deze zal volgens de planning van Oracle verschijnen op 18 april. Kornbrust gelooft niet dat de problemen op 18 april zijn opgelost. Hij adviseert gebruikers de work-arounds te volgen in zijn advisory. Bron: Techworld