Phát hiện của ông Litchfield cho thấy, do cách Java được thực thi (implement) trong CSDL Oracle 11g Release 2 nên người dùng có thể nâng quyền của anh ta lên mức bất kỳ. Ông Litchfield đã trình diễn cách thực thi nhiều lệnh khiến người dùng được trao quyền hệ thống “để hoàn toàn điều khiển được CSDL Oracle 11g Enterprise Edition”. Ông còn cho thấy cách vượt qua tính năng Oracle Label Security (được dùng để quản lý truy cập bắt buộc vào những thông tin ở nhiều mức bảo mật khác nhau).
Cho tới khi Oracle tung ra được miếng vá khắc phục những lỗ hổng zero-day rên, ông Litchfield khuyên các nhà quản trị CSDL Oracle 11g nên hủy bỏ việc thực thi công khai một số chức năng Java nào đó.
Ông Litchfield cho rằng, việc bảo mật trong CSDL Oracle 11g chỉ đạt điểm "B+" và chỉ trích Oracle là để CSDL của mình quá phụ thuộc vào các sản phẩm bảo mật của bên thứ ba.
Bạch Đình Vinh
Nguồn: PCWorld