Der Hersteller hat dazu in dem eigenen Forum ‘Metalink’ den Fehler veröffentlicht aber noch keinen Patch geliefert. So kann ein User, der lediglich über Leserechte verfügt, sich über die Lücke auch Rechte wie Aktualisieren und Einfügen vergeben.
Auf Red Database Security hat nun der Sicherheitspezialist Alexander Kornbrust Oracle darauf hingewiesen, dass der Hersteller mit der Veröffentlichung des Codes auch gleich den Exploit-Code mitgeliefert habe. Inzwischen hat Oracle die entsprechenden Stellen gestrichen.
Der Fehler sei bei bestimmten Anwendungen sehr gefährlich, weil sich damit das gesamte Rollenkonzept aushebeln lasse, warnt der Sicherheitsexperte. Nutzer mit niedrigen Privilegien könnten Ansichten aufrufen, in denen sie Daten nicht nur lesen, sondern auch aktualisieren oder löschen könnten.
In einigen Installationen sei es auch möglich, dass der Nutzer die Daten dann modifizieren kann und seine Rechte weiter ausweitet, wie Kornbrust in seinem Advisory erklärt. Noch sei unklar, wann Oracle den Fehler beheben werde.
Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.
Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…
Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.
Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.
KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…
Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…