David Litchfield, az ismert biztonsági kutató már tavaly februárban, a washingtoni Black Hat konferencián jelezte, hogy olyan újfajta SQL-Injection támadásokhoz szükséges kódokat dolgozott ki, amelyek minden eddigi - hasonló jellegű - megoldásnál nagyobb veszélyt jelentenek.

A támadásokhoz használható kódok tulajdonképpen speciálisan szerkesztett SQL valamint PL/SQL utasításokra épülnek, és gondosan összeállított keresési kifejezéseket tartalmaznak. A biztonsági szakértő szerint ezek felhasználásával könnyedén lehet kárt okozni az Oracle adatbázisokban. Lehetőség nyílik adatok módosítására és törlésére valamint különböző szoftverek telepítésére is.

Litchfield megoldásának egyik legfontosabb tulajdonsága, hogy az eddig legtöbbször problémát okozó SQL-Injection kódoktól eltérően nemcsak szöveges karakterek bevitelével, illetve szöveges mezők felhasználásával biztosít lehetőséget a támadásokra, hanem dátum és numerikus adattípusok esetében is kockázatot jelent.

David Litchfield egyelőre nem kívánt jóslatokba bocsátkozni azzal kapcsolatban, hogy a nyilvánosságra hozott támadási módszer milyen széles körben fog elterjedni. Azt azonban megjegyezte, hogy bizonyos esetekben komoly károkat okozhat. A fejlesztőknek azt tanácsolta, hogy győződjenek meg arról, hogy a szoftvereik megfelelő ellenőrző algoritmusokkal rendelkeznek, és nem engednek kártékony utasításokat lefuttatni.

Az Oracle eddig hivatalosan még nem reagált Litchfield bejelentésére.