Корпорация Oracle пообещала в ускоренном порядке ликвидировать более 30 уязвимостей в cвоем ПО, некоторые из которых были обнаружены еще в январе этого года и, по мнению специалистов, являются критическими. Британский эксперт в области инфобезопасности Дэвид Литчфилд (David Litchfield), управляющий директор компании Next-Generation Security Software, обнародовал информацию о выявленных им проблемах с обеспечением безопасности продуктов Oracle на прошлой неделе. Он не стал подробно описывать обнаруженные уязвимости, чтобы ими не воспользовались злоумышленники. «Дыры» имеют разную степень критичности – от высокой до низкой, от переполнения буфера и динамически распределяемой области до плохой защиты паролей. В отдельных случаях доступ к системе можно получить, вообще не вводя имени пользователя либо пароля. Пользователь с ограниченными правами доступа к системе может поэтапно повысить свой статус до уровня администратора. Впервые г-н Литчфилд проинформировал Oracle о выявленных в ее ПО «дырах» еще в январе 2004 года, однако, несмотря на постоянные напоминания, корпорация до сих пор не выпустила ни одного исправления для указанных им проблем. По словам британского эксперта, каждый, кто затратит время на изучение списков уже выпущенных компанией обновлений системы безопасности, сможет составить представление о степени уязвимости ее продуктов. Однако нежелание Oracle взглянуть правде в глаза вполне аналогично поведению большинства конкурентов компании, включая Microsoft, IBM, и многих других «китов» ИТ-рынка. Эксперт заметил, что в этом плане Oracle могла бы многое почерпнуть у Microsoft в плане лексики. «Microsoft традиционно является большой мишенью, - заметил он, - и несет от этого значительный ущерб. Однако Microsoft сумел выработать более эффективный подход к разрешению этих проблем и в настоящее время обошел остальных игроков на рынке по своей способности адекватно реагировать на возникающие проблемы».
cnews.ru