Nella sicurezza dei dispositivi Oracle non si è aperta solo una piccola falla ma una vera e propria voragine: oltre 30 le falle annunciate (senza precisazioni ulteriori) ed una provvidenziale promessa di sollecita patch piomba sul polverone sollevatosi a chiudere la pericolosa vicenda senza morti nè feriti. Per ora.
David Litchfield, responsabile Next Generation Security Software Ltd., ha dichiarato di aver registrato nel passato ben 34 falle ai database Oracle, falle tuttora presenti. Il tutto sarebbe segnalato ai vertici Oracle nel Gennaio 2004, e solo 2 mesi fa una risposta è giunta a confermare quanto scoperto: a Litchfield viene notificato il fatto che la patch è pronta e i bug stanno dunque per essere chiusi. Da allora passano però ulteriori settimane, ed il pacchetto non trova distribuzione. Nè, tantomeno, viene data segnalazione delle falle all’utenza.
La scorsa settimana il problema è venuto a galla durante un intervento di David Litchfield al Black Hat di Las Vegas (conferenza incentrata sulla sicurezza informatica) ed oggi Oracle si è trovata ad ammettere il tutto. Lo fa in colpevole ritardo, ma nel contempo promette un sollecito intervento in merito.
La vicenda assume contorni preoccupanti soprattutto in quanto solo in Giugno l’azienda aveva già rilasciato un importante aggiornamento che andava ad intervenire proprio sull’aggiornamento dei prodotti nei quali erano stati riscontrati bug. C’è da attendersi ora il nuovo intervento, e nel frattempo tra Oracle e Litchfield è battaglia di parole. Mentre quest’ultimo accusa Oracle di aver lasciato in silente pericolo la propria utenza per troppo tempo, l’azienda replica sottolineando come siano oggi in troppi a crearsi un nome sulla scoperta di falle altrui (lanciando così ombre di sospetto sulle reali intenzioni che spingono ad indicare pubblicamente le falle emerse).
Le falle riscontrate sarebbero quasi tutte di grave importanza e pericolo: il controllo da remoto dei database sarebbe cosa possibile e l’exploit sarebbe costituito da un codice relativamente semplice. Per questo Litchfield punta il dito contro Oracle smontando il messaggio di indistruttibilità con cui l’azienda aveva voluto francobollare i propri sistemi nelle recenti campagne promozionali.