Tags populaires:
Virtualisation sécurité DNS vérification formelle analyse d'atteignabilité erreurs du compilateur conflit de macro extension web framework de développement Graphiques bitmap incohérences d'API Tous les tags

L'analyseur XML Expat corrige une vulnérabilité critique de longue date : une bataille d'une décennie

2025-03-13

Après deux ans et demi d'efforts, une vulnérabilité critique (CVE-2024-8176) dans l'analyseur XML Expat a enfin été corrigée. La vulnérabilité, résultant d'appels récursifs pouvant entraîner des dépassements de pile et des attaques par déni de service, a été résolue dans la version 2.7.0. Le mainteneur Sebastian Pipping, après avoir contacté de nombreuses entreprises pour obtenir de l'aide, a collaboré avec Siemens et d'autres pendant dix mois pour résoudre trois variantes du problème. La version inclut également d'autres améliorations, telles qu'un nouveau fuzzer et des binaires 64 bits pour Windows. Cette histoire rappelle les risques de sécurité cachés même dans les techniques de programmation apparemment simples, et l'importance de la collaboration de la communauté open source.

Lire plus
(blog.hartwork.org)
Développement analyseur XML sécurité open source

78% des entreprises de matériel informatique n'utilisent pas Security.txt

2025-03-03

Un développeur maintenant une liste publique d'entreprises utilisant la bibliothèque libexpat dans le matériel a constaté qu'en 2025, 78 % (39 sur 50) des entreprises testées ne proposaient pas de fichier /.well-known/security.txt comme spécifié par la RFC 9116. Cela révèle une posture de sécurité préoccupante et passive dans de nombreuses entreprises, rendant difficile le contact avec leurs équipes de sécurité. L'auteur exhorte les entreprises concernées à résoudre ce problème et à partager un lien vers securitytxt.org.

Lire plus
(blog.hartwork.org)
Matériel