"Katastrophal" lautet das Urteil des Security-Spezialisten Kornbrust hierzu. Seinen Erklärungen zufolge wird die Situation für Anwender noch zusätzlich verkompliziert, weil die Patches keine Versionsnummern haben. Um festzustellen, welche Variante eines Patches installiert wurde, müsse man das Datum wissen, an dem das Update heruntergeladen wurde. Trotzdem glaubt der Experte, eine "allmähliche Verbesserung der Qualität der Oracle-Patches" zu erkennen.
Auch David Litchfield, Geschäftsführer der britischen Firma Next Generation Security Software, räumt "große Verbesserungen in Oracles Prozessen zur Reaktion auf Sicherheitsprobleme" ein. Bislang sei jedoch jedes kritische Update fehlerhaft gewesen und habe mehrmals überarbeitet werden müssen. Anwender, die ein Patch-Paket sofort installieren, müssten damit rechnen, diesen Prozess bis zum Erscheinen des nächsten größeren Updates zu wiederhoDer Experte weiß, wovon er spricht. Ähnlich wie Kornbrust gehört er zu denjenigen, die Oracle immer wieder informieren, wenn sie Schwachstellen entdecken. Der Hersteller ist jedoch nur bedingt dankbar für die kostenlosen Dienste der Sicherheitsspezialisten, die er mit gemischten Gefühlen sieht. Mary Ann Davidson, Oracles Chief Security Officer, bezeichnete sie in einem Interview im vergangenen Jahr sogar als "Plage". Es sei "sehr weit verbreitet, dass mit Insider-Informationen über Schwachstellen und entsprechenden Exploits gehandelt" werde. Das erhöhe das Risiko für die Anwender. Kornbrust hingegen rät dem Hersteller, ein besseres Verhältnis zu den Security-Researchern zu etablieren und diese nicht als Feinde anzusehen.
Genau das passierte Litchfield unlängst, als er einen Workaround im Internet veröffentlichte, nachdem Oracle ein von dem Security-Spezialisten entdecktes Problem im "Application Server" nicht mit dem Januar-Patch beseitigt hatte.
Oracle reagierte verschnupft: Sicherheitsdirektor Harris warnte Kunden davor, den Workaround zu verwenden. Dieser sei "inadäquat" und störe mehrere Applikationen der E-Business-Suite. Die Schwachstelle sei "extrem schwer zu beseitigen" und erfordere gründliche Tests. Da noch kein einschlägiger Exploit-Code aufgetaucht sei, gebe es keine Notwendigkeit, vorschnell zu reagieren. Sollte später Gefahr im Verzug sein, werde man auch außerhalb des vierteljährlichen Rhythmus einen Notfall-Patch herausgeben. Litchfields Aktion sei kontraproduktiv, so der Oracle-Manager: "Damit verschafft er jedem bösartigen Hacker eine großartige Ausgangsposition, um die Schwachstelle zu untersuchen und einen Exploit zu entwickeln."
