De nieuwe Critical Patch Update die Oracle vorige week vrijgaf dicht niet alle gaten in Oracle's 10g Release 2 Software. Volgens onderzoeker David Litchfield van de Next Generation Security Software is op het internet ook al een exploitcode voor het lek opgedoken.
De megapatch van Oracle herstelde meer dan dertig fouten in de software. Maar nu blijkt de databasesoftware nog steeds lekken te bevatten. Volgens Litchfield was Oracle al sinds 19 februari op de hoogte van het lek. Door een lek in de database export extenstion kunnen aanvallers hogere rechten krijgen in het systeem.
Antivirusmaker Symantec waarschuwt beheerders om de toegang tot het gebruik van de database aan banden te leggen totdat Oracle met een patch komt.