C’est la semaine dernière que devait être annoncée la nouvelle. Lors de la conférence BlackHat à Las Vegas, David Litchfield projetais d’annoncer et d’expliquer l’ensemble des failles qu’il a découvert. Oracle n’ayant développé les correctifs de sécurité à temps, David Litchfield, qui se garde bien de tout commentaire technique, s’était refusé d’en parler.

Peu d’informations techniques sont disponibles aujourd’hui sur la portée des failles découvertes. David Litchfield n’a pour le moment fait que très peu commentaire. Il craint en effet que les failles soient rapidement exploitées par des  » pirates  » ou des  » vers « . Oracle a annoncé avoir corrigé les problèmes et l’alerte pour leurs clients sera envoyée d’ici peu de temps.

Les vulnérabilités découvertes sont diverses et vont du classique  » buffer overflow  » au plus complexe  » heap overflow  » en passant par la découverte de mots de passe stockés dont l’accès est mal protégé.

David Litchfield est l’un des seuls experts qui s’est réellement attaqué à la sécurité d’Oracle. En deux ans il aurait dénombré plus de 50 vulnérabilités touchant cette solution de gestion de bases de données.