Des failles de sécurité dans les librairies d’interprétation XML

Le Cert (Computer Emergency Response Team) finlandais vient d’émettre un bulletin d’alerte relatif à des failles de sécurité dans plusieurs librairies de traitement des fichiers XML. Ce bulletin fait état de risques relatifs à l’interprétation d’éléments XML contenant des octets aux valeurs inattendues par le code, octets imbriqués dans plusieurs niveaux de parenthèses récursifs : un code malveillant pourrait notamment profiter de ces failles pour accéder à zones de mémoire s’étendant au-delà du domaine réservé par le logiciel ou, à tout le moins, provoquer un déni de service. Le problème est que ces librairies sont très largement incorporées dans d'autres logiciels qu'elles rendent vulnérables.

Les failles en question ont été découvertes dans le cadre du projet Cross de l’éditeur Codenomicon, spécialiste du Fuzzing, une méthode de test logiciel s’appuyant sur l’injection de données erronées dans un système. L’éditeur présente sur son site des propositions pour combler les failles isolées.

Sont notamment concernées la libexpat de Python, Xerces d’Apache, mais aussi JRE 6 jusqu’à l’update 14 (la récente update 15 a été corrigée, NDLR) et JRE 5 jusqu’à l’update 19. Un correctif pour Python est en cours d’élaboration.