• Thứ Ba, 11/08/2009 09:18 (GMT+7)

    Lỗ hổng XML đe dọa hàng triệu ứng dụng

    Những lỗ hổng bị phát hiện trong các thư viện XML có thể khiến hàng triệu ứng dụng bị tấn công DoS.

    Ông Dave Chartier, CEO của nhà sản xuất bảo mật Codenomicon cho biết, hàng triệu ứng dụng được xây dựng dựa trên những thư viện XML của Sun, Apache Software Foundation, Python Software Foundation, GNOME Project... bị lỗi có nguy cơ bị tấn công DoS. Hồi đầu năm 2009, Codenomicon đã thêm vào công cụ Defensics của họ một cách để kiểm tra các lỗ hổng trong mã XML.

    Codenomicon đã chia sẻ phát hiện của mình với các nhóm nguồn mở và công nghiệp. Hôm 5/8/2009, đã có một số khuyến nghị và miếng vá cho những lỗ hổng liên quan tới XML được đưa ra. Đội Phản ứng với Tình huống Bảo mật Máy tính Khẩn cấp của Phần Lan (CERT-FI) cũng công bố bản tư vấn bảo mật chung.

    Sử dụng công cụ Defensics, Codenomicon tìm thấy nhiều lỗ hổng trong các bộ phân tích XML, có thể dẫn tới tấn công DoS, làm sai lạc dữ liệu hoặc phân phát nội dung “độc” trên nền XML. Theo Codenomicon, tin tặc có thể thể khai thác những lỗ hổng này bằng cách lừa người dùng mở file XML “độc” hoặc gửi những yêu cầu có ác ý tới các dịch vụ web xử lý nội dung XML.

    XML được sử dụng rộng rãi trong .Net, SOAP, VoIP, các dịch vụ web,các ứng dụng tự động hóa công nghiệp. Ông Chartier khuyên các tổ chức nên sớm chạy bản vá để tránh bị tấn công.

    Codenomicon dự kiến sẽ thảo luận sâu hơn về các lỗ hổng XML tại hội nghị Hacker Halted 2009 sẽ được tổ chức Miami ở (Mỹ) trong tháng 9/2009.


    Bạch Đình Vinh
    Theo Network World, 5/8/2009

    ID: O0908_1