Le Cert (Computer Emergency Response Team) finlandais vient d’émettre un bulletin d’alerte relatif à des failles de sécurité dans plusieurs librairies de traitement des fichiers XML. Ce bulletin fait état de risques relatifs à l’interprétation d’éléments XML contenant des octets aux valeurs inattendues par le code, octets imbriqués dans plusieurs niveaux de parenthèses récursifs : un code malveillant pourrait notamment profiter de ces failles pour accéder à zones de mémoire s’étendant au-delà du domaine réservé par le logiciel ou, à tout le moins, provoquer un déni de service. Le problème est que ces librairies sont très largement incorporées dans d'autres logiciels qu'elles rendent vulnérables.
Les failles en question ont été découvertes dans le cadre du projet Cross de l’éditeur Codenomicon, spécialiste du Fuzzing, une méthode de test logiciel s’appuyant sur l’injection de données erronées dans un système. L’éditeur présente sur son site des propositions pour combler les failles isolées.
Sont notamment concernées la libexpat de Python, Xerces d’Apache, mais aussi JRE 6 jusqu’à l’update 14 (la récente update 15 a été corrigée, NDLR) et JRE 5 jusqu’à l’update 19. Un correctif pour Python est en cours d’élaboration.
Toute reproduction ou représentation intégrale ou partielle des pages publiées sur ce site, faite sans l'autorisation de l'éditeur est illicite et constitue une contrefaçon. LeMagIT s'engage à respecter la confidentialité des données personnelles conformément à la loi 78-17 du 6 janvier 1978. LeMagIT n'assume aucune responsabilité de type éditoriale sur les commentaires publiés sur ce site, la mise en ligne n'étant soumise à aucun contrôle à priori. La fréquentation de ce site est certifiée OJD.
Tous les services du MagIT sur