Oracle ออกแพทช์ประจำไตรมาส อุดช่องโหว่ 253 รายการ

Oracle ผู้ให้บริการ Integrated Cloud Applications และ Platform Services ชั้นนำของโลก ประกาศออกแพทช์ประจำไตรมาส อุดช่องโหว่ของ 76 ผลิตภัณฑ์รวม 253 รายการ ซึ่ง 15 รายการถูกจัดอันดับความรุนแรงในระดับ Critical 

รายละเอียดการอัปเดตแพทช์ของ Oracle ระบุว่า ช่องโหว่ที่เลวร้ายที่สุดอาจช่วยให้แฮ็คเกอร์สามารถเข้าทำอันตราย Oracle Big Data Discovery, Oracle Web Services, Oracle Commerce และ WebLogic ผ่านทาง HTTP ได้ นอกจากนี้ยังมีช่องโหว่บน Java ที่ช่วยให้แฮ็คเกอร์สามารถเข้าถึงระบบเครือข่ายผ่านทางโปรโตคอลหลากหลายชนิดเพื่อโจมตี Java SE ได้โดยไม่ต้องพิสูจน์ตัวตน

อีกหนึ่งช่องโหว่ที่มีความรุนแรงระดับ 9.1 (Critical) คือ ช่องโหว่บน OJVM Component บน Oracle Database Server เวอร์ชัน 11.2.0.4 และ 12.1.0.2 ซึ่งช่วยให้แฮ็คเกอร์ที่มีสิทธิ์ระดับสูง ได้แก่ Create Session และ Create Procedure Privilege สามารถเข้าถึงระบบเครือข่ายผ่านโปรโตคอลหลายชนิดเพื่อทำอันตราย OJVM ได้ ผลลัพธ์คือ แฮ็คเกอร์สามารถเข้าควบคุม OJVM ได้อย่างสมบูรณ์

นอกจากนี้ Oracle Database Server ยังมีช่องโหว่บน Application Express Component ซึ่งช่วยให้แฮ็คเกอร์สามารถเข้าถึงระบบเครือข่ายผ่าน HTTP เพื่อโจมตี Application Express โดยไม่ต้องพิสูจน์ตัวตนได้ด้วยเช่นกัน

สำหรับช่องโหว่อื่นๆ เช่น ช่องโหว่บน Sun Ray Thin Client, PeopleSoft และ JD Edward EnterpriseOne Tools สามารถดูรายละเอียดได้ที่ http://www.oracle.com/technetwork/topics/security/cpuoct2016verbose-2881725.html

Oracle แนะนำให้ผู้ใช้ผลิตภัณฑ์รีบอัปเดตแพทช์ทั้งหมดโดยเร็ว

ที่มา: http://www.theregister.co.uk/2016/10/19/oracles_quarterly_security_release_offers_253_patches/