甲骨文在本周釋出的每季例行性更新中修補了66個產品安全漏洞,其中有43個漏洞來自於甲骨文的產品,另有23個漏洞來自於昇陽產品。不過,網路及資料庫安全業者Imperva技術長Amichai Shulman撰文批評甲骨文的漏洞修補數量及透明度,認為甲骨文的漏洞修補政策需要整修一下。
Shulman表示,自從甲骨文去年併購了多家公司及商品後,其每季更新有下滑的趨勢。當甲骨文的產品很少時,曾經一次補100個資料庫漏洞,有愈多產品應該會有愈多的修補程式,但現在看起來卻是相反。
他還批評甲骨文的修補政策缺乏透明度,因為甲骨文通常不會清楚揭露漏洞資訊,以避免駭客進行攻擊,但不幸地,駭客都會利用反向工程,透過修補程式找出可利用的漏洞,結果是,唯一認不清情況的只有甲骨文的客戶。
Shulman指出,如果沒有足夠的漏洞資訊,甲骨文客戶就無從開發權宜解決方案,而且企業要修補重大程式漏洞時,多半需要數月的測試期;這是個蠻橫的行為,因為軟體供應商都期望研究人員能負責任地向業者揭露細節,但供應商卻未能同等對待安全業者或客戶。
在甲骨文本周公布的漏洞中,有34個不需要認證就能進行遠端程式攻擊,不過甲骨文同樣也未揭露相關的漏洞細節。Shulman認為,相關攻擊程式問世的時間應該快過於企業在生產環境中測試並導入這些修補程式。(編譯/陳曉莉)
熱門新聞
2025-02-05
2025-01-31
2025-01-30
2025-02-03
2025-02-03
2025-02-03
Advertisement