Na terça-feira (17/04), a Oracle revelou seu lançamento trimestral dos ajustes de software, que consertam não apenas falhas na base de dados, mas também erros em um host de outras aplicações. No total, os ajustes fixam 36 vulnerabilidades, das quais 13 se relacionam diretamente à base de dados.

Segundo o diretor de Alertas de Segurança da Oracle, Darius Wiles, o ajuste da falha mais séria da base de dados, discutida na Atualização Crítica de Abril, estará disponível para usuários da versão 9.2.0.8 da base de dados da Oracle somente a partir de 30 de abril. O motivo é um caso descoberto nos testes, problema que afeta apenas a plataforma Windows e está ajustado em todas as outras versões suportadas pela base de dados.

A falha, conhecida como DB01, está no Core RDBMS (sistema de administração das relações na base de dados), utilizado pela base de dados da Oracle. A falha pode ser remotamente explorada sobre a rede de comunicação e, diferente da maioria das falhas existentes na base de dados, quem ataca não precisa ter direitos de autenticação na base de dados para explorar o problema.

Wiles disse que esse foi o ajuste mais crítico feito pela Oracle neste mês. Essa é a única falha da base de dados que foi classificada, esse semestre, com um 7 no Sistema de Classificação de Vulnerabilidades Comuns. Todas as outras falhas de base de dados foram classificadas de 3,4 para baixo.

Um especialista de segurança declarou que possivelmente essa falha poderia ser usada para desligar ou ter acesso a uma base de dados. De acordo com um diretor de negócios do Red-Database-Security GmbH, Alexander Kornbrust, ela até poderia ser explorada para rodar um software não autorizado no servidor da base de dados. “Acho que agora as pessoas se concentrarão nesta vulnerabilidade”, ele disse.

Nesse lançamento trimestral também foram consertados o Servidor de Aplicação da Oracle, Pacote de Softwares de Colaboração e E-Business e o Administrador de Negócios, assim como as aplicações PeopleSoft e JD Edwards.

Apesar desses ajustes não serem enviados como parte das atualizações trimestrais de segurança, eles irão eventualmente chegar aos produtos da Oracle através de outros mecanismos de atualização dos softwares da empresa, que atualiza códigos com menos frequência que o Processo de Ajuste Crítico.

A mudança irá revelar os processos de testes da Oracle, que testa atualizações para dúzias de softwares que rodam em aproximadamente 20 plataformas de sistemas operacionais.

A Oracle não revelou qual plataforma e combinações de produtos ela considera “inativa”. Uma lista desses softwares se tornará pública antes da próxima Atualização de Ajustes Críticos em julho, a porta-voz disse.