Vulnérabilités importantes pour les bibliothèques XML. Un pirate pourrait exécuter un code malveillant ou bloquer tout simplement sa cible.
Ari Takane, chef des opérations techniques chez Codenomicon, vient de mettre un gros grains de sable dans le rouage des bibliothèques XML. Ce n'est pas le langage qui est fautif, mais les librairies. Pour ce spécialiste en sécurité informatique "N'importe quelle application ou partie de logiciel utilisant les bibliothèques XML est potentiellement vulnérable", voilà qui n'est pas rassurant, d'autant plus que ces bibliothèques pullulent sur la toile.
Un pirate qui aurait la même idée que cette entreprise, créer un logiciel qui va générer des documents XML faux afin de voir ce qui va se passer, pourrait ensuite l'exploiter pour exécuter un code malveillant, bloquer sa cible via un DoS (Déni de Service), ... Logiciels commerciaux et Open Source sont faillibles d'après les tests effectués chez Codenomicon. Les librairies touchées : Python libexpat, Apache Xerces, Sun JDK et JRE.
Le CERT Finlandais [entité en charge de la protection de l'informatique des entreprises et administration du pays, NDR] s'est fait l'écho de cette vulnérabilité. A noter qu'il semble que les bibliothèques écrites en C (langage de programmation, NDR) seraient plus dangereuses. Codenomicon indique n'avoir eu aucun écho d'un éventuel 0Day. Une présentation de cette faille sera proposée, en septembre prochain, lors du Hacker Halted'09 de Miami. IBM, Sun ou encore Apache viennent de se pencher très sérieusement sur ce berceau empoisonné. Les premiers patchs sont déjà en action