オラクルのアプリケーションに欠陥--ブラウザと知識があれば悪用は簡単

　データベースソフトメーカーのOracleが先週、顧客向けのセキュリティ勧告をリリースした。同社のEコマース用プログラムの最新バージョンに欠陥が見つかり、顧客のシステムが危険にさらされているという。

　勧告には簡潔だが強い語調で、同社ソフトウェアのOracle 11i E-Business SuiteとOracle Applications 11.0には欠陥があり、これを悪用すると、攻撃者がプログラムを管理するデータベースの制御を乗っ取ることが可能である、と記されている。

　「ブラウザと専門知識がある人なら、誰でも（この欠陥を）悪用できる。これを放置しておくことのリスクは高い」と、Oracleは勧告のなかで述べる。なお、同社は、欠陥の詳細な情報を公開していない。問題に対処するため、同社はパッチをリリースしており、顧客にシステムをアップデートするよう促している。

　セキュリティ情報会社のSecuniaは、この脆弱性の危険度評価を「非常に危険」としている。これは、同社の評価体系のなかで、危険の度合いが2番目に高いとされるカテゴリーだ。

　この脆弱性を発見したのは、Integrigyの最高技術責任者（CTO）Stephen Kostだ。Integrigyは、企業アプリケーションのセキュリティを確保するソフトウェアを開発する企業である。Integrigyが独自に作成した報告書にも、Oracleの勧告と同様、この欠陥を悪用するのは簡単だと記されている。

　昨年初めにIntegrigyは、OracleのE-Business Suite向けのセキュリティ製品AppSentryをリリースしている。また、同社は昨年、Oracleの同製品に存在した他2つの欠陥に関する情報を公開している。