Oracle est en train de préparer des correctifs pour une trentaine de failles découvertes à travers sa gamme de produits. Ces failles avaient été communiquées depuis janvier, et annoncées publiquement lors des Black Hat Security Sessions de Las Vegas fin juillet.

Cette annonce ne va pas redorer le blason du numéro un mondial des bases de données. En effet, elle a été faite après que la firme ait corrigé une autre faille de sécurité dans sa suite 11i E-Business en juin. Et c'est David Litchfield, un expert en sécurité informatique britannique, qui a découvert ces quelques trente failles qu'il a jugé plus ou moins critiques. Oracle a ainsi fait une promesse le 3 août, celle de corriger rapidement ces failles.

Et c'est tout dans son intérêt de tenir cette promesse : en effet, les vulnérabilités incriminées permettraient à un pirate mal intentionné de lancer des attaques de type "buffer overflow" (saturation de mémoire tampon), ou profiter de mots de passe peu efficaces. Il serait même possible d'accèder aux systèmes gérés par les produits Oracle sans identifiant ou mot de passe.

Il y a deux ans, Oracle avait lancé une campagne marketing qualifiant ses produits comme "incassables". David Litchfield a annoncé avoir trouvé avec ses confrères pas moins de cinquantes failles dans ses logiciels en 24 heures après l'apparition de cette campagne.

Selon lui, Oracle devrait prendre exemple sur l'approche de Microsoft : «Microsoft a toujours été une cible privilégiée, ce dont il a souffert. Mais il a amélioré ses processus internes de résolution des problèmes, et est désormais en avance sur le reste du marché dans sa capacité à réagir face à de nouveaux cas.»

Lorsqu'Oracle aura annoncé une date concernant la publication de ces correctifs, vous pourrez consulter cette page pour de plus amples informations.