По словам экспертов по сетевой безопасности, в новой версии СУБД Oracle 11g корпорация Oracle сделала массу нововведений и усовершенствований, однако при помощи самых нехитрых программных манипуляций разработчики и хакеры смогут получить доступ к закрытым данным.
"Многие из уязвимостей, обнаруженные в Oracle 11g являются базовыми ошибками в программировании, – говорит управляющий директор компании Red Database Security GMBH Александр Корнберст, – Oracle следует обучить своих разработчиков как избегать таких ошибок, приводящих к самым простым уязвимостям".
Компания Корнберста во время конференции Hack in the Box Security Conference 2007 продемонстрировала ряд приемов, в том числе и так называемых SQL-инъекций, которые позволяют обходить системы защиты данных и похищать данные, либо внедрять вредоносный код в системы.
Кроме того, компания продемонстрировала способ обхода возможностей аудита в 11g, однако о программе, обходящей систему аудита на сегодня сообщено лишь Oracle.
По словам Корнберста, многие из проблем Oracle лежат в плоскости архитектуры данной СУБД. Кроме того, в данный момент в Red Database Security исследуют системы безопасности Oracle Database Vault и Oracle Audit Vault.
