Oracle is used in many of the commercial voip systems, and they just released a big security patch bundle.<br /><br />There is a pretty big pile of 3rd party software jammed into the various platforms.  Broadsoft has around 40 different parties listed in thier &quot;thrid-party acknowledgement&quot; list.  <br /> <br />How closely do you monitor this kind of thing?<br /><br />With good architecture and other controls, you can keep most of the vulnerable code fairly well isolated from The Wild, but China, Inc can be pretty persistent  when they get curious (just ask google:  http://www.google.com/search?q=google+china  !).<br /><br /><br />Thanks,<br /><br />David