Een Fins beveiligingsbedrijf heeft lekken ontdekt in de code die door talloze applicaties wordt gebruikt, van instant messaging software, documenten en afbeeldingen tot webapplicaties en cloud computing platformen. Het probleem wordt door de verwerking van XML veroorzaakt. XML, voluit eXtensible Markup Language, is al jaren een handige manier om informatie tussen verschillende applicaties uit te wisselen. Het Finse Codenomicon heeft meerdere kwetsbaarheden in de XML libraries gevonden. Het bedrijf onderzocht alle opensource libraries die het kon vinden en ze waren allemaal kwetsbaar. Aanvallers kunnen de lekken gebruiken om applicaties te laten crashen of willekeurige code uit te voeren, en zo het systeem in kwestie over te nemen.

De Python en Java programmeertalen alsmede Apache Xerces zijn kwetsbaar, maar volgens CTO Ari Takanen ligt het werkelijke aantal kwetsbare applicaties nog veel hoger. "Het aantal programma's is gigantisch. In principe is elke applicatie of stukje software dat XML libraries gebruikt kwetsbaar." Het Finse Computer Emergency Response Team heeft inmiddels een advisory uitgegeven, waaruit blijkt dat de problemen in Sun's JRE en JDK verholpen zijn. Jussi Eronen van CERT-FI verwacht dat in de komende weken en maanden nog veel meer bedrijven en ontwikkelaars met patches zullen komen.

Exploits
Met name libraries die met de programmeertaal C gemaakt zijn, lopen het grootste risico, omdat een aanvaller hier veroorzaakte lekken kan misbruiken om code op een kwetsbaar systeem uit te voeren. "Helaas zijn de meeste libraries in C geschreven, en zijn fouten zoals stack overflows niet ongewoon. Als dit het geval is, dan is misbruik afhankelijk van de anti-exploit features van het platform, zoals ASLR, DEP, NX bits, canaries", zo laat Codenomicon weten.

Het Finse bedrijf is een 'spinoff' van de Universiteit van Oulu en wordt geleid door dezelfde mensen die in 2001 en 2002 een lek in het veelgebruikte ASN.1 protocol ontdekten. Volgens Howard Schmidt, die in de raad van bestuur van Codenomicon zit en als cybersecurity adviseur van George Bush fungeerde, zijn de XML-lekken bijna net zo wijdverspreid als met ASN.1 het geval was. "XML wordt op zoveel verschillende manieren gebruikt in wat we vandaag op het web doen. Het is dus erg belangrijk als er iets misgaat met iets waar zoveel mensen afhankelijk van zijn."

Vooralsnog zijn er geen publiek exploits bekend. "Het is onmogelijk om te voorspellen wat er gaat gebeuren. Als ik pessimistisch ben dan zeg ik dat het niemand iets kan schelen, totdat de eerste exploits verschijnen", zo besluit Takanen.