美國(guó)東部時(shí)間4月11日（北京時(shí)間4月12日）消息：甲骨文公司似乎在無意中泄露出了一些關(guān)于其數(shù)據(jù)庫軟件中的某個(gè)未修復(fù)的安全漏洞的詳細(xì)資料，其中還包括一個(gè)可以用來利用該漏洞發(fā)起攻擊的代碼樣品。有關(guān)該漏洞的詳細(xì)資料在上個(gè)星期四被公布在甲骨文公司Metalink客戶支持門戶網(wǎng)頁上。 
      德國(guó)Neunkirchen市的Red Database Security公司的安全研究員Alexander Kornbrust在星期一早上給電子郵件中的所有聯(lián)系人都發(fā)了一封電子郵件詢問事態(tài)的發(fā)展，因此整個(gè)安全界都知道了這件事。Kornbrust說，甲骨文公司在星期五的時(shí)候在被告知那個(gè)Metalink注解與安全隱患有關(guān)之后，它就將相關(guān)資料從網(wǎng)上撤了下來。
      甲骨文公司在星期一的時(shí)候說，它計(jì)劃解決這個(gè)問題。 甲骨文公司女發(fā)言人在星期一說：“甲骨文公司現(xiàn)在已經(jīng)獲悉那些完全公開的資料與甲骨文Database 9i和Database 10g中的某個(gè)安全漏洞有關(guān)，我們計(jì)劃在近的季度重要補(bǔ)丁更新的時(shí)候向客戶們提供一個(gè)補(bǔ)丁文件以修復(fù)這個(gè)漏洞?！?
      甲骨文公司下一次安全更新的日期是4月18日。
      要想利用這個(gè)漏洞發(fā)起攻擊，攻擊者首先必須擁有甲骨文數(shù)據(jù)庫的帳戶，因此這個(gè)問題不大可能被攻擊者通過網(wǎng)絡(luò)利用。但是，通常只能讀取而不能修改數(shù)據(jù)庫資料的數(shù)據(jù)庫用戶可以建立一個(gè)特殊的查詢來獲得修改數(shù)據(jù)庫資料的權(quán)力。
      從9.2.0.0版到10.2.0.3版甲骨文公司數(shù)據(jù)庫軟件，不管運(yùn)行在哪種操作系統(tǒng)上，都存在這個(gè)漏洞。
      Kornbrust認(rèn)為甲骨文公司在四月份的安全更新中不一定能夠修復(fù)這個(gè)漏洞，因此他已經(jīng)發(fā)表了一些針對(duì)這個(gè)問題的應(yīng)對(duì)措施。這些應(yīng)對(duì)措施的網(wǎng)址是：http:∥www.red-database-security.com/advisory/oracle_modify_data_via_views.html。
      他說他已經(jīng)決定將有關(guān)這個(gè)問題的所有資料公諸于眾，因?yàn)橐呀?jīng)有很多人看過了甲骨文公司的Metalink注解，給其他甲骨文用戶帶來了一定的威脅。
      比較諷刺的是，這個(gè)未修復(fù)漏洞的攻擊代碼的初始來源正是甲骨文公司自己。Kornbrust說：“這次甲骨文公司不能再責(zé)備安全研究員們了?！?
      甲骨文公司沒有解釋它是如何會(huì)不小心地泄露這些敏感信息的，但是Kornbrust猜測(cè)它是由于它們的支持組織的錯(cuò)誤造成的。他說：“我認(rèn)為這也許是甲骨文公司支持組織中的某個(gè)人發(fā)現(xiàn)了這個(gè)漏洞但是他并不知道這個(gè)漏洞與安全有關(guān)。 我想這個(gè)可憐的家伙原本是為了幫助其他人才把這些資料公布出來的?！保ㄍ躏w）