O pesquisador de segurança de bancos de dados David Litchdield deve exibir um novo método de ataque contra bancos de dados da Oracle, na conferência de segurança Black Hat DC 2007.
Litchfield, diretor de gerenciamento da NGSSoftware, encontrou uma maneira de explorar falhas da Oracle sem exigir privilégios de sistema. A nova tática aumenta o risco de explorações de falhas em bancos de dados desatualizados.
"Na ocasião, a Oracle em seus alertas destaca que o atacante precisa ter a habilidade de criar procedimentos ou funções para explorar uma falha", segundo Litchfield. "Este não é o caso. Todas as falhas de injeção de códigos SQL podem ser feitas sem ter privilégios de sistema a não ser o ‘CRIAR SESSÃO’. Com isso, o risco de exploração de uma falha nunca deve ser minimizado", conclui o pesquisador.
A nova técnica não se limita a uma falha, e se aplica a todas as versões do Oracle. E, mais importante, segundo a Symantec num recente alerta, o método derruba uma das desculpas mais usadas pela Oracle para diminuir o impacto da maioria das falhas encontradas em seus softwares.
Mais informações: ComputerWorld
