A versão mais recente do famoso software de banco de dados da Oracle apresenta melhorias de segurança em relação às versões anteriores, mas erros de desenvolvimento deixaram falhas que podem resultar em roubo de dados, alertaram especialistas. "A Oracle fez grandes progressos com o Oracle 11g, mas algumas das falhas que encontrei resultam de erros estúpidos de programação", afirmou Alexander Kornbust, diretor de gerenciamento da GmbH, numa entrevista na conferência de segurança Hack It The Box (HITB). "A Oracle tem que educar seu time de desenvolvimento para que eles evitem falhas óbvias de segurança", afirmou o especialista. Executivos da Oracle não comentaram as críticas.
Kornbust, que auxilia grandes empresas na segurança de seus bancos de dados Oracle, examinou o software e descobriu falhas que permitem a injeção de códigos SQL maliciosos. Ele também descobriu como driblar as funções de auditoria de várias versões do banco de dados (incluindo a atual). O pesquisador já disse que discutirá sobre os problemas na conferência HITB, mas sem revelar detalhes de como as falhas são exploradas.
Alguns dos problemas descobertos por Kornbust mostram falhas de arquitetura no software da Oracle. Numa palestra marcada para esta semana, ele planeja demonstrar como problemas de arquitetura permitem driblar as ferramentas de segurança da Oracle. O custo e tempo exigido para a correção de uma falha no banco de dados da Oracle pode ser incrivelmente alto, devido ao papel crítico que o software representa num cenário corporativo.
Mais informações: PC World
