Miliony programów dziurawe przez XML-a
W bibliotekach XML stworzonych przez Suna, Apache Software Foundation, Python Software Foundation i Gnome Project odkryto poważne błędy umożliwiające przeprowadzenie ataku DoS. Wykorzystujące je aplikacje są zagrożone, a aplikacji takich są prawdopodobnie miliony - mówi Dave Chartier, szef firmy Codenomicon, która odkryła błąd. Codenomicon produkuje narzędzie Defensics, które zajmuje się automatycznym analizowaniem kodu pod względem bezpieczeństwa. Na początku roku dodano do niego możliwość analizowania XML. Już pierwsze testy wykazały, że popularne biblioteki zawierają liczne luki.
Dziury mogą zostać wykorzystane poprzez zachęcenie użytkownika do otwarcia odpowiednio spreparowanego pliku XML lub też wysłanie zapytania do witryny zawierającej spreparowany kod XML. Następstwa skutecznego ataku mogą być poważne - od możliwości przeprowadzenia ataku DoS po wykonanie szkodliwego kodu na zaatakowanej maszynie - czytamy na stronach Codenomicon.
Firma od dłuższego czasu współpracuje z producentami oprogramowania i fińskim CERT-em w celu rozwiązania problemu.
Implementacje XML-a są wszechobecne, znajdziemy je w systemach i usługach, w których byśmy się ich nie spodziewali. Dla nas najważniejsze jest, by użytkownicy końcowi i organizacje, którzy używają tych bibliotek zainstalowali ich najnowsze wersje. Niniejsze oświadczenie to początek długiej drogi rozwiązywania problemów, która zakończy się dopiero wówczas, gdy łaty zostaną zastosowane w systemach produkcyjnych - mówi Erka Koivunen z CERT-FI.
Komentarze (0)