W bibliotekach XML stworzonych przez Suna, Apache Software Foundation, Python Software Foundation i Gnome Project odkryto poważne błędy umożliwiające przeprowadzenie ataku DoS.
Wykorzystujące je aplikacje są zagrożone, a aplikacji takich są prawdopodobnie miliony - mówi Dave Chartier, szef firmy Codenomicon, która odkryła błąd.

Narzędzie Defensics firmy Codenomicon służy do automatycznego analizowania kodu pod względem bezpieczeństwa. Z początkiem tego roku została wprowadzona możliwość analizowania XML. Już pierwsze testy wykazały, że popularne biblioteki zawierają liczne luki.

Dziury mogą zostać wykorzystane poprzez zachęcenie użytkownika do otwarcia odpowiednio spreparowanego pliku XML lub też wysłanie zapytania do witryny zawierającej spreparowany kod XML. Następstwa skutecznego ataku mogą być poważne - od możliwości przeprowadzenia ataku DoS po wykonanie szkodliwego kodu na zaatakowanej maszynie - czytamy na stronach Codenomicon.

Firma wraz z producentami oprogramowania oraz CERT-em współpracuje nad rozwiązaniem problemu.

Implementacje XML-a są wszechobecne, znajdziemy je w systemach i usługach, w których byśmy się ich nie spodziewali. Dla nas najważniejsze jest, by użytkownicy końcowi i organizacje, którzy używają tych bibliotek zainstalowali ich najnowsze wersje. Niniejsze oświadczenie to początek długiej drogi rozwiązywania problemów, która zakończy się dopiero wówczas, gdy łaty zostaną zastosowane w systemach produkcyjnych - mówi Erka Koivunen z CERT-FI.

Źródło: http://www.locos.pl/