Bibliothèques XML : une faille majeure découverte

La société Codenomicon, spécialisée dans la sécurité informatique, vient de révéler une faille critique au sein de plusieurs bibliothèques XML (eXtensible Markup Language). Ce langage est principalement utilisé pour le transfert de données et embarqué au sein de différentes applications et services Internet. C'est ainsi que nous retrouvons XML dans les suites bureautiques, les services de VOIP, les banques en ligne ou encore implémenté au sein de .NET. Si cette faille venait à être exploitée, le hacker serait en mesure d'exécuter du code ou d'opérer une attaque par déni de service. Ari Takane, chef des opérations techniques chez Codenomicon, explique ainsi : « d'une manière générale, n'importe quelle application ou partie de logiciel utilisant les bibliothèques XML est potentiellement vulnérable »

Cette faille a été découverte alors que la société était en train de tester la robustesse de différents logiciels open source en injectant plusieurs types de données et en analysant leur comportement. Au travers de ces tests il apparaît que toutes les bibliothèques XML testées présentent cette faille, laquelle peut être exploitée lorsqu'un élément corrompu est transféré via XML.

Cette faille aurait été rapportée au département des urgences informatiques de Finlande (CERT-FI) au mois de février. Le CERT-FI et Codenomicon ont ensuite travaillé conjointement pour corriger le problème et plusieurs sociétés et organisations comme Sun, Apache ou Python devraient prochainement proposer ce correctif. Les bibliothèques écrites en C seraient potentiellement plus dangereuses car elles permettraient d'exécuter du code mais Heikki Kortti, spécialiste de la sécurité chez Codenomicon, ajoute : « nous n'avons pas eu de retour sur des personnes ayant exploité cette faille ». Il ajoute également que du côté utilisateur, le problème devrait être rapidement corrigé grâce au gestionnaire de mises à jour.

Codenomicon devrait partager de plus amples détails sur cette faille lors du sommet Hacker Halted 2009 qui se déroulera au mois de septembre à Miami.

Hey ,

À noter que ce n'est pas XML qui a une faille (ça ne veut rien dire), mais les analyseurs syntaxiques. Et encore, pas tous ! Par exemple, celui de Microsoft n'est pas atteint, mais celui de Python, Apache et Sun. le sont. Aucune information sur libxml, donc a priori, PHP n'est pas touché (mais il faut vérifier).

Tout à fait, c'est d'ailleurs surement pour ça que l'article parle de "Bibliothèques XML"

php est touché, toutes les apps qui font du xml un peu plus loin que de l'écriture avec des echo ou des prints se base inévitablement sur la libxml, php, python, java, apache, tous le reste compris.

microsoft a du bol sur ce coup ils ont leur propre sauce qui s'apelle msxml me semble de tête, c'est super craignos ce que tu nous reporte zeusouné