Oracle 製品に未対応の脆弱性？

ドイツのセキュリティ調査会社 Red-Database-Security の Alexander Kornbrust 氏は19日、『Oracle Forms』および『Oracle Reports』に影響する6件のセキュリティ勧告を公開した。

Oracle は先週、最新パッチを公開したが、これを適用したとしてもなお、上記の脆弱性が影響する可能性がある。

6件の脆弱性は、システム乗っ取り、権限昇格、ファイル書き換えを許す恐れのある危険度の高いものから、危険度は比較的低いものの、情報漏洩、クロスサイトスクリプティング攻撃につながるものまでさまざまだ。

Kornbrust 氏は、2003年にこれらの脆弱性を Oracle に報告したと主張している。同氏は、勧告を公開するに至るまでの経緯において、今年4月にも、次回の定例セキュリティ更新で対応しなければ、該当の脆弱性について公表することを、Oracle に通知したと述べている。

Oracle は12日、四半期に1度の定例セキュリティ更新『Critical Patch Update』を実施し、さまざまな製品に存在する49件の脆弱性に対応した。

Oracle はまだ、Kornbrust 氏が指摘した脆弱性について、自社のセキュリティ勧告サイトで対応もしくは確認するに至っていない。

Oracle の広報担当によると、同社は顧客やセキュリティ研究者に対し、セキュリティ上の脆弱性を見つけたら、すぐに報告するよう奨励しているという。

「顧客を保護する最も有効な方法は、パッチや回避策の準備前に脆弱性が公にならないようにすることだと考えている。当社製品のセキュリティ脆弱性について、たとえ些細な内容でも、パッチの提供前に公になることには、失望を禁じ得ない」と広報担当者は述べた。

Twitter	iPhoneアプリ / iPadアプリ		Androidアプリ
Facebook	RSS	ニュースメール