Miliony programów dziurawe przez XML-a

W bibliotekach XML stworzonych przez Suna, Apache Software Foundation, Python Software Foundation i Gnome Project odkryto poważne błędy umożliwiające przeprowadzenie ataku DoS.

Codenomicon produkuje narzędzie Defensics, które zajmuje się automatycznym analizowaniem kodu pod względem bezpieczeństwa. Na początku roku dodano do niego możliwość analizowania XML. Już pierwsze testy wykazały, że popularne biblioteki zawierają liczne luki.

- Dziury mogą zostać wykorzystane poprzez zachęcenie użytkownika do otwarcia odpowiednio spreparowanego pliku XML lub też wysłanie zapytania do witryny zawierającej spreparowany kod XML. Następstwa skutecznego ataku mogą być poważne - od możliwości przeprowadzenia ataku DoS po wykonanie szkodliwego kodu na zaatakowanej maszynie - czytamy na stronach Codenomicon.

Firma od dłuższego czasu współpracuje z producentami oprogramowania i fińskim CERT-em w celu rozwiązania problemu.

- Implementacje XML-a są wszechobecne, znajdziemy je w systemach i usługach, w których byśmy się ich nie spodziewali. Dla nas najważniejsze jest, by użytkownicy końcowi i organizacje, którzy używają tych bibliotek zainstalowali ich najnowsze wersje. Niniejsze oświadczenie to początek długiej drogi rozwiązywania problemów, która zakończy się dopiero wówczas, gdy łaty zostaną zastosowane w systemach produkcyjnych - mówi Erka Koivunen z CERT-FI.

Mariusz Błoński


Wersja do druku

06.08.2009 r.

Ekran wyboru także w MS Office, 16:08

Epson Stylus SX410, 16:05

06.08.2009 r.

Kwantowy komputer nie musi być doskonały, 16:11

Top 10 telefonów komórkowych - lipiec 2009, 16:24