Bibliothèques XML : une faille majeure découverte
Posté : 06 août 2009, 16:15
Bibliothèques XML : une faille majeure découverte
La société Codenomicon, spécialisée dans la sécurité informatique, vient de révéler une faille critique au sein de plusieurs bibliothèques XML (eXtensible Markup Language). Ce langage est principalement utilisé pour le transfert de données et embarqué au sein de différentes applications et services Internet. C'est ainsi que nous retrouvons XML dans les suites bureautiques, les services de VOIP, les banques en ligne ou encore implémenté au sein de .NET. Si cette faille venait à être exploitée, le hacker serait en mesure d'exécuter du code ou d'opérer une attaque par déni de service. Ari Takane, chef des opérations techniques chez Codenomicon, explique ainsi : « d'une manière générale, n'importe quelle application ou partie de logiciel utilisant les bibliothèques XML est potentiellement vulnérable »
Cette faille a été découverte alors que la société était en train de tester la robustesse de différents logiciels open source en injectant plusieurs types de données et en analysant leur comportement. Au travers de ces tests il apparaît que toutes les bibliothèques XML testées présentent cette faille, laquelle peut être exploitée lorsqu'un élément corrompu est transféré via XML.
Cette faille aurait été rapportée au département des urgences informatiques de Finlande (CERT-FI) au mois de février. Le CERT-FI et Codenomicon ont ensuite travaillé conjointement pour corriger le problème et plusieurs sociétés et organisations comme Sun, Apache ou Python devraient prochainement proposer ce correctif. Les bibliothèques écrites en C seraient potentiellement plus dangereuses car elles permettraient d'exécuter du code mais Heikki Kortti, spécialiste de la sécurité chez Codenomicon, ajoute : « nous n'avons pas eu de retour sur des personnes ayant exploité cette faille ». Il ajoute également que du côté utilisateur, le problème devrait être rapidement corrigé grâce au gestionnaire de mises à jour.
Codenomicon devrait partager de plus amples détails sur cette faille lors du sommet Hacker Halted 2009 qui se déroulera au mois de septembre à Miami.
La société Codenomicon, spécialisée dans la sécurité informatique, vient de révéler une faille critique au sein de plusieurs bibliothèques XML (eXtensible Markup Language). Ce langage est principalement utilisé pour le transfert de données et embarqué au sein de différentes applications et services Internet. C'est ainsi que nous retrouvons XML dans les suites bureautiques, les services de VOIP, les banques en ligne ou encore implémenté au sein de .NET. Si cette faille venait à être exploitée, le hacker serait en mesure d'exécuter du code ou d'opérer une attaque par déni de service. Ari Takane, chef des opérations techniques chez Codenomicon, explique ainsi : « d'une manière générale, n'importe quelle application ou partie de logiciel utilisant les bibliothèques XML est potentiellement vulnérable »
Cette faille a été découverte alors que la société était en train de tester la robustesse de différents logiciels open source en injectant plusieurs types de données et en analysant leur comportement. Au travers de ces tests il apparaît que toutes les bibliothèques XML testées présentent cette faille, laquelle peut être exploitée lorsqu'un élément corrompu est transféré via XML.
Cette faille aurait été rapportée au département des urgences informatiques de Finlande (CERT-FI) au mois de février. Le CERT-FI et Codenomicon ont ensuite travaillé conjointement pour corriger le problème et plusieurs sociétés et organisations comme Sun, Apache ou Python devraient prochainement proposer ce correctif. Les bibliothèques écrites en C seraient potentiellement plus dangereuses car elles permettraient d'exécuter du code mais Heikki Kortti, spécialiste de la sécurité chez Codenomicon, ajoute : « nous n'avons pas eu de retour sur des personnes ayant exploité cette faille ». Il ajoute également que du côté utilisateur, le problème devrait être rapidement corrigé grâce au gestionnaire de mises à jour.
Codenomicon devrait partager de plus amples détails sur cette faille lors du sommet Hacker Halted 2009 qui se déroulera au mois de septembre à Miami.
,