De libraries van verschillende (vooral open source) softwarebouwers vertonen een lek waardoor applicaties die van deze libraries gebruik maken kwetsbaar zijn voor aanvallen.

Specifiek gaat het om een lek in de XML-parser van libraries van in ieder geval Sun Microsystems, de Apache Software Foundation en de Python Software Foundation. De kwetsbaarheid is opgemerkt door applicatiebeveiliger Codenomicon en het Finse cyberbeveiligingsinstituut van de overheid CERT-FI. Aanvallers kunnen met geprepareerde XML-elementen een Denial of Service uitlokken. Als deze geparsed worden, slaat het systeem op hol en crasht de applicatie.

De bugs zijn opgemerkt in Python libexpat, Apache Xerces en Suns JDK/JRE. In het laatste geval gaat het om de versies 5.0 update 19 en eerder, en 6 update 14 en eerder. Bij Sun zijn al updates verschenen, terwijl Apache het voorlopig houdt op een nu al twee maanden oud verzoek richting ontwikkelaars en Python aan heeft gegeven druk bezig te zijn met een patch.

Bron: Techworld.nl