Bibliothèques XML : une faille majeure découverte

Guillaume Belfiore
Lead Software Chronicler
06 août 2009 à 12h25
0
02341100-photo-xml-faille-s-curit.jpg
La société Codenomicon, spécialisée dans la sécurité informatique, vient de révéler une faille critique au sein de plusieurs bibliothèques XML (eXtensible Markup Language). Ce langage est principalement utilisé pour le transfert de données et embarqué au sein de différentes applications et services Internet. C'est ainsi que nous retrouvons XML dans les suites bureautiques, les services de VOIP, les banques en ligne ou encore implémenté au sein de .NET. Si cette faille venait à être exploitée, le hacker serait en mesure d'exécuter du code ou d'opérer une attaque par déni de service. Ari Takane, chef des opérations techniques chez Codenomicon, explique ainsi : « d'une manière générale, n'importe quelle application ou partie de logiciel utilisant les bibliothèques XML est potentiellement vulnérable »

Cette faille a été découverte alors que la société était en train de tester la robustesse de différents logiciels open source en injectant plusieurs types de données et en analysant leur comportement. Au travers de ces tests il apparaît que toutes les bibliothèques XML testées présentent cette faille, laquelle peut être exploitée lorsqu'un élément corrompu est transféré via XML.

Cette faille aurait été rapportée au département des urgences informatiques de Finlande (CERT-FI) au mois de février. Le CERT-FI et Codenomicon ont ensuite travaillé conjointement pour corriger le problème et plusieurs sociétés et organisations comme Sun, Apache ou Python devraient prochainement proposer ce correctif. Les bibliothèques écrites en C seraient potentiellement plus dangereuses car elles permettraient d'exécuter du code mais Heikki Kortti, spécialiste de la sécurité chez Codenomicon, ajoute : « nous n'avons pas eu de retour sur des personnes ayant exploité cette faille ». Il ajoute également que du côté utilisateur, le problème devrait être rapidement corrigé grâce au gestionnaire de mises à jour.

Codenomicon devrait partager de plus amples détails sur cette faille lors du sommet Hacker Halted 2009 qui se déroulera au mois de septembre à Miami.

Guillaume Belfiore

Lead Software Chronicler

Lead Software Chronicler

Responsable du développement éditorial sur la partie Logiciel et Services Web sur Clubic. Précédemment journaliste, je traitais l'actualité web et mobile au sens large. Je m'intéressais aux entrailles...

Lire d'autres articles

Responsable du développement éditorial sur la partie Logiciel et Services Web sur Clubic. Précédemment journaliste, je traitais l'actualité web et mobile au sens large. Je m'intéressais aux entrailles des navigateurs web, aux nouveaux smartphones mais aussi aux systèmes d'exploitation, aux questions de sécurité ou à l'actualité e-business en général. Sinon je dois avouer que j'ai un faible pour tout ce qui touche au web design et c'est généralement le code source d'une page web que je lis en premier.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires

Haut de page