【安全測試業者發現XML函式庫重大漏洞】

tan2818

【安全測試業者發現XML函式庫重大漏洞】

 

XML函式庫漏洞最嚴重的問題在於它被廣泛運用在各個領域中，包括雲端運算、網路應用程式、行動應用程式、3D圖像、文件，或即時傳訊服務，也因此可能波及各個產業別。

 

專門測試各種軟體及裝置安全性的Codenomicon在近日提出警告 ，表示XML函式庫含有許多重大漏洞，將會影響所有使用該函式庫的各種軟體及服務。

 

Codenomicon是在今年初發表XML測試工具時發現，XML函式庫在解析XML資料部份含有許多安全漏洞，駭客可以透過惡意的XML檔案或是傳送惡意要求到網站上，就能利用相關漏洞，並在受影響的系統上進行阻斷式服務攻擊或執行惡意程式。

 

Codenomicon在今年初發現相關漏洞時便與芬蘭的國家電腦緊急中心（CERT-FI）合作，以通知受影響的業者，包括昇陽、Apache、Python及其他採用XML的開放源碼計畫，上述業者皆已釋出修補程式。

 

XML函式庫漏洞最嚴重的問題在於它被廣泛運用在各個領域中，包括雲端運算、網路應用程式、行動應用程式、3D圖像、文件，或即時傳訊服務，也因此可能波及各個產業別，包括銀行的外部網路服務介面、股票資訊系統，或是製造業、零售業、政府機關、健康醫療產業的外部服務介面、內部系統或是企業網路。

 

根據Codenomicon實驗室的說明，XML並不是一種協定，而是一個用來描述架構的方法，它被廣泛用在現代的協定及檔案格式中，只要透過有問題的輸入指令就能讓任何使用XML的應用程式產生漏洞，但攻擊方式則根據XML被使用的方式不同，例如若XML被用來處理檔案程序，那麼就只屬於區域端漏洞，如果被用在通訊軟體中，便可能成為遠端攻擊漏洞。

 

CERT-FI負責人Erka Koivunen表示，XML現身於各種可能想像不到的系統及服務中，因此使用有漏洞XML函式庫的使用者及組織應該要儘快升級到最新版本，此一宣布只是長期補救程序的開端，只有當所有系統都被修補時才算結束。

 

引用：http://tw.myblog.yahoo.com/jw!Wh2mtbmXFAA0_3UdZO.j4cYZT08-/article?mid=3586