• Tweet

Oracle Corp. ha sido muy criticada por sus boletines de seguridad que resultan muy difíciles de decifrar. En respuesta, el gigante de las bases de datos revelará un boletin nuevo, fácil de digerir cuando libere su actualización de parches críticos (CPU, por sus siglas en inglés) trimestrales el jueves.

La compañía, con base en Redwood Shores, California, delineó los cambios el miércoles en su blog Oracle Global Product Security. Entre los cambios, estarán los siguientes:

• Adoptar el Common Vulnerability Scoring System (CVSS) para ponderar la severidad de las fallas que resuelve cada parche.
• Identificar específicamente las fallas críticas que podrían ser explotables remotamente sin requerir autenticación en el sistema
• Proporcionar un resumen ejecutivo de lasvulnerabilidades de seguridad que se describen en la CPU

Oracle dice que los cambios son el resultado de la retroalimentación recibida de "muchos" clientes.

La compañía dijo que "el patrón de la nueva documentación recibió retroalimentación positiva y esperamos que estos cambios ayuden a nuestros clientes a determinar lo crítico de las vulnerabilidades resueltas con cada CPU y los ayude a tomar decisiones sobre los parches desde un nivel administrativo de forma más rápida". Agregó que "en última instancia, sentimos que estos cambios deben resultar en un reforzamiento de la seguridad de nuestros cleintes proporcionándoles un enfoque estandar de calificación de vulnerabilidad y un medio para una mejor comunicación interna".

En un entrevista con SearchSecurity.com, John Heimann, director de la administración del programa de seguridad de Oracle, y Darius Wiles, administrador senior de alertas de seguridad, reconocieron que su proceso de parches puede ser difícil de seguir.

La compañía ha sido criticada en el pasado no sólo por la complejidad de sus boletines de parches, sino por las inconsistencias en los parches mismos. La liberación de sus parches trimestrales regularmente es seguida por reportes de investigadores de seguridad sobre fallas no arregladas como se describe en los boletines. La compañía también ha sido acusada de hacer caso omiso de vulnerabilidades que tienen más de un año.