Исследователи нашли множественные дыры в популярных библиотеках XML от Sun
Microsystems, Python и Apache Software Foundation.


Баги были обнаружены
фирмой Codenomicon в начале 2009 года во время
разработки нового приложения для тестирования XML. Проверяя библиотеки XML,
специалисты обнаружили множественные ошибки в синтаксисе. Использовать эти
уязвимости можно было, заставив пользователя открыть вредоносный XML-файл или
посылая вредоносные запросы веб-сервисам, содержащим XML-контент.

По словам Хейкки Кортти, старшего специалиста Codenomicon по безопасности,
эксперты компании пока не слышали о том, чтобы кто-нибудь эксплуатировал данные
уязвимости.

По его словам, фирма проинформировала финский CERT о наличии уязвимостей в
феврале этого года. После того как они были обнаружены, Codenomicon провела с
CERT-FI совместную работу, чтобы скоординировать исправление обнаруженных ошибок
с соответствующими разработчиками. Ожидается, что о сделанных исправлениях
должны будут объявить Sun, Apache, Python и несколько других компаний.
Информацию об исправлениях в продуктах Sun можно найти

здесь
.

Стоит отметить, что распространенность XML делает уязвимости в нем особенно
опасными. Сегодня XML используется в .NET, SOAP, VoIP, веб-сервисах, системах
SCADA и даже в банковской инфраструктуре.

Кортти советует разработчикам, озабоченным тем что их программы используют
уязвимые библиотеки, обновить и перестроить свой код. Дополнительные подробности
о некоторых из обнаруженных ими уязвимостях представители Codenomicon планируют
сообщить в ходе конференции Hacker Halted 2009, которая пройдет в Майями в
сентябре.



Оставить мнение