Sur les 59 patchs annoncés dans le cadre de la campagne trimestrielle Critical Patch Updates d'Oracle, 13 concernent des problèmes de sécurité fragilisant la suite de base de données maison et 28 pour des vulnérabilités exploitables à distance et considérées d'une importance capitale par l'éditeur. : elles permettent en effet de prendre le contrôle des systèmes sans avoir besoin de s'identifier par un nom d'utilisateur ou un mot de passe. « Trois de ces patchs sont essentiels car ils portent sur des défauts particulièrement dangereux dans toutes les versions database server d'Oracle, » a déclaré Josh Shaul, directeur de la gestion produits chez Application Security, un spécialiste en solutions de sécurité basé à New York. L'une des failles, qui porte le numéro CVE-2010-0902, permet à tout utilisateur authentifié au sein d'une base de données Oracle de disposer d'un accès administrateur total. «Ils peuvent consulter la base de données, la modifier ou arrêter le serveur de base de données. En un mot, ils disposent de toutes les autorisations administrateur de la base de données, » a expliqué Josh Shaul.

Des failles critiques pour les entreprises

Les deux autres failles critiques affectant la base de données pourrait être exploitées sans que l'utilisateur ait même besoin d'être connecté à la celle-ci. Elles permettraient notamment à un attaquant de déclencher un déni de service (DoS) contre la base pour la rendre inaccessible aux utilisateurs légitimes. «Ce sont trois vulnérabilités très dangereuses pouvant mettre à néant la base de données, » a encore déclaré le responsable d'Application Security. « L'indice établi par Oracle pour classer les failles par niveau de gravité ne reflète pas la véritable nature de la menace, » a t-il commenté.