Hôm qua (15/10), Oralce chính thức phát hành bản cập nhật để sửa 36 lỗi bảo mật mới được phát hiện trong các sản phẩm phần mềm của hãng này. Trong đó có 15 lỗi thuộc về ứng dụng cơ sở dữ liệu, 6 lỗi trong ứng dụng máy chủ và 5 lỗi trong gói phần mềm thương mại điện tử.
Theo bản tin cảnh báo bảo mật của Oracle, lỗi nguy hiểm nhất được khắc phục đợt này là lỗi thuộc về Apache plug-in cho ứng dụng Oracle WebLogic Server. Do có thể bị khai thác từ xa qua mạng Internet nên lỗi này được Oracle xếp vào mức 10 – mức cao nhất trong hệ thống thang bậc đánh giá mức độ nguy hiểm lỗi của hãng này.
Amichai Shulman – Giám đốc công nghệ của hãng bảo mật Imperva Inc. đồng thời là hãng đã phát hiện ra 2 trong số những lỗi được Oracle khắc phục đợt này – lại cho rằng bản cập nhật lần này “nhỏ” hơn hẳn các bản cập nhật định kỳ hàng quý khác của Oracle. Chính vì thế mà nguy cơ tiềm ẩn với khách hàng của Oracle là không thực sự quá lớn.
Song có một điểm rất lạ là có nhiều bản sửa lỗi được phát hành lần này lại có vẻ nhắm đến bít những lỗ hổng mà Oracle tuyên bố đã vá từ trước. Theo ông Shulman, sở dĩ xảy ra tình trạng này là do Oracle thường áp dụng “chiến thuật” lỗi đâu sửa luôn đó mà không xem xét đến toàn bộ mã nguồn sản phẩm để loại trừ mọi lỗi tương tự.
Ông Slavik Markovich – Giám đốc công nghệ của hãng cung cấp sản phẩm bảo mật cơ sở dữ liệu Sentrigo Inc. – cho biết hầu hết các lỗi được sửa đợt này đều là những lỗi thường gặp như lỗi tràn bộ nhớ đệm hay lỗi SQL Injection.
“Để có thể khai thác được những lỗi này kẻ tấn công đều phải cần đến một chứng thực đăng nhập vào hệ thống sử dụng phần mềm Oracle mắc lỗi. Nhưng không vì thế mà chúng ta xem nhẹ mức độ nguy hiểm của chúng. Tin tặc có đủ khả năng đánh cắp tài khoản hệ thống.”
Có một yếu tố nữa khiến những lỗi Oracle trở nên nguy hiểm hơn thực tế - ông Markovich cho biết – đó là chuyện nhiều khách hàng rất chậm trễ trong việc cài đặt các bản sửa lỗi. Khoảng thời gian trễ giữa phát hành bản sửa lỗi và sửa lỗi tương đối lớn tạo điều kiện cho tin tặc có cơ hội tấn công người dùng.
Người dùng có thể truy cập vào đây để tìm hiểu thêm thông tin và tải về các bản vá cần thiết.