Уязвимости, открытые финскими специалистами, содержатся почти во всех библиотеках для поддержки XML. Арии Таканен (Ari Takanen), технический директор Codenomicon, пояснил, что многие из обнаруженных уязвимостей позволяют атакующей стороне остановить работу приложений, использующих данные библиотеки XML, или даже выполнить собственный вредоносный код. Уже известно, что уязвимости подвержены такие важные технологии, как языки программирования Python и Java, а также Apache Xerces для синтаксического разбора XML на стороне веб-сервера.
Важность открытия финских специалистов состоит в компрометации самых основ, на которых построены многие приложения, используемые по всему миру. Эти уязвимые технологии лежат в основе «облачных» сервисов, систем трехмерной графики и многих бизнес-систем. Уязвимости обнаружены в рамках проекта CROSS (Codenomicon Robust Open Source Software), направленного на поиск уязвимостей с помощью потока случайных, порой ничего не значащих команд и входных данных для различных компонентов с открытыми исходниками.
Специалисты Codenomicon сообщили, что наибольший риск связан с библиотеками, написанными на языке C, поскольку этот язык содержит недостаточно средств для борьбы с исполнением постороннего кода. Атака на эти уязвимости может быть выполнена, если заставить пользователя просто открыть специально модифицированный XML-файл или отправить особого вида запросы к веб-сервисам, работающим на базе XML.
Компания Codenomicon поделилась результатами своих открытий с финским представительством службы CERT (Computer Emergency Readiness Team), которое, в свою очередь, немедленно обратилось к крупнейшим производителям программных продуктов. В частности, группа разработчиков Python уже подтвердила работу над исправлениями. В то же время пока ничего неизвестно о реакции компании Sun (разработчиков Java) и разработчиков Apache, хотя они определенно уже приступили к решению проблемы.
Сейчас трудно прогнозировать последствия, к которым приведет обнародование данных об уязвимости основ современного Интернета. В то же время, всей ИТ-индустрии стоит провести тщательный анализ своих систем на наличие этих уязвимостей в вездесущих XML-библиотеках.
Подробнее о серьезной угрозе в открытых реализациях стандарта XML можно прочитать в обзоре на сайте