S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Butiner les RSS présente un risque de sécurité

Sortez couverts

RSS Bob Auger, spécialiste de la sécurité chez SPI Dynamics, vient d'attirer l'attention sur les risques de sécurité que présente le système RSS, lors de la conférence Black Hat. Selon lui, beaucoup de lecteurs RSS présentent une faille permettant à un pirate d'exécuter un code malin envoyé par la source RSS.

Le problème touche tout type de RSS, mais il est particulièrement vif pour les blogs, ces sites personnels qui explosent sur la Toile. SPI Dynamics a étudié plusieurs applications de réception de fils RSS, et constaté que la plupart permettaient la libre exécution d'un code JavaScript, quel qu'il soit, envoyé par le fil RSS. Le pirate n'aurait alors qu'à lancer le code malin sur le fil RSS, et laisser ses victimes le recevoir.

Le risque est particulièrement virulent dans le domaine des blogs, car le pirate peut alors facilement créer un blog factice, et attaquer ses victimes par l'intermédiaire du système RSS. Mieux encore, pour les blogs sur lesquels il est possible de recevoir un RSS suivant les commentaires, le pirate pourrait poster un message contenant un code JavaScript malin pour piéger ses victimes, selon SPI Dynamics.

Le problème est aussi très sérieux pour les mailing list qui offrent un suivi par système RSS ou Atom. Les logiciels de lecture RSS les plus connus sont tombés dans le piège, beaucoup d'entre eux ne sont pas préparés à de potentielles attaques pirates, explique SPI Dynamics. Ces logiciels ne devraient permettre aucune exécution de code JavaScript inclus dans un fil RSS.

Parmi les logiciels piégés, on retrouve notamment Bloglines, RSS Reader, RSS Owl, Feed Demon, et Sharp Reader. Problème : beaucoup de services RSS utilisent couramment le JavaScript pour intégrer de la publicité dans leur fil RSS... Le rapport de SPI Dynamics sur le sujet est disponible en document PDF, sur cette page.
Source : CNet News.com
Publiée le 07/08/2006 à 11:58

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...
;