В начале текущего года в процессе разработки собственного продукта, предназначенного для тестирования библиотек XML, при синтаксическом разборе данных этих библиотек специалистами фирмы Codenomicon были обнаружены уязвимости в XML-библиотеках, предлагаемых компаниями Sun Microsystems, Python и Apache Software Foundation. Согласно заявлению ведущего специалиста по ИБ компании Codenomicon Хейки Корти, ранее об этих уязвимостях экспертам этой компании не было известно. Особенно опасными их делает распространенность упомянутых библиотек — сегодня они используются в технологиях .NET, SOAP, VOIP, SCADA, веб-сервисах и даже в банковской инфраструктуре.
Сообщается, что злоумышленники могут использовать обнаруженные программные дефекты, заставляя пользователей обманным путем открывать подложные файлы или неосознанно запуская злонамеренные веб-сервисы, использующие XML-контент.
Полученные исследователями Codenomicon результаты, как сказал Хейки Корти, в феврале были доложены финской национальной группе обеспечения компьютерной безопасности CERT-FI, с которой Codenomicon в дальнейшем взаимодействовала для координации действий с упомянутыми разработчиками по вопросам внесения исправлений в их продукты (на веб-странице можно найти сведения об исправлениях, уже внесенных в библиотеки Sun).
Официальные представители Codenomicon объявили, что на конференции Hacker Halted 2009, которая состоится в сентябре в Майями, будут сделаны дополнительные сообщения об обнаруженных специалистами этой компании уязвимостях XML-библиотек.
По материалам eWeek