Bibliothèques XML : une faille majeure découverte

Guillaume Belfiore
Par Guillaume Belfiore, Rédacteur en chef adjoint.
Publié le 06 août 2009 à 12h25
02341100-photo-xml-faille-s-curit.jpg
La société Codenomicon, spécialisée dans la sécurité informatique, vient de révéler une faille critique au sein de plusieurs bibliothèques XML (eXtensible Markup Language). Ce langage est principalement utilisé pour le transfert de données et embarqué au sein de différentes applications et services Internet. C'est ainsi que nous retrouvons XML dans les suites bureautiques, les services de VOIP, les banques en ligne ou encore implémenté au sein de .NET. Si cette faille venait à être exploitée, le hacker serait en mesure d'exécuter du code ou d'opérer une attaque par déni de service. Ari Takane, chef des opérations techniques chez Codenomicon, explique ainsi : « d'une manière générale, n'importe quelle application ou partie de logiciel utilisant les bibliothèques XML est potentiellement vulnérable »

Cette faille a été découverte alors que la société était en train de tester la robustesse de différents logiciels open source en injectant plusieurs types de données et en analysant leur comportement. Au travers de ces tests il apparaît que toutes les bibliothèques XML testées présentent cette faille, laquelle peut être exploitée lorsqu'un élément corrompu est transféré via XML.

Cette faille aurait été rapportée au département des urgences informatiques de Finlande (CERT-FI) au mois de février. Le CERT-FI et Codenomicon ont ensuite travaillé conjointement pour corriger le problème et plusieurs sociétés et organisations comme Sun, Apache ou Python devraient prochainement proposer ce correctif. Les bibliothèques écrites en C seraient potentiellement plus dangereuses car elles permettraient d'exécuter du code mais Heikki Kortti, spécialiste de la sécurité chez Codenomicon, ajoute : « nous n'avons pas eu de retour sur des personnes ayant exploité cette faille ». Il ajoute également que du côté utilisateur, le problème devrait être rapidement corrigé grâce au gestionnaire de mises à jour.

Codenomicon devrait partager de plus amples détails sur cette faille lors du sommet Hacker Halted 2009 qui se déroulera au mois de septembre à Miami.
Guillaume Belfiore
Rédacteur en chef adjoint
XLinkedIn
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Dernières actualités
Hébergez votre site web avec le meilleur rapport qualité-prix possible grâce à o2switch
L'hébergeur o2Switch monte en gamme... voilà ce qu'il faut savoir
O2Switch : où sont localisés les datacenters ?
Airbnb voit très grand et dévoile son plan pour devenir le Amazon du voyage
Coup dur pour le covoiturage en France : la fin des aides remet en question le modèle
Créez votre site web avec l'IA en seulement 5 étapes !
Airbnb et Booking : le gouvernement reporte sa réforme fiscale et prépare un plan encore plus strict !
Acteur français prometteur des réunions interactives, Klaxoon se fait racheter par un groupe américain
Facebook
X
Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. En savoir plus sur le traitement de données personnelles.