Analisador XML Expat Corrige Vulnerabilidade Crítica de Longo Prazo: Uma Batalha de Uma Década
Após dois anos e meio de esforço, uma vulnerabilidade crítica (CVE-2024-8176) no analisador XML Expat foi finalmente corrigida. A vulnerabilidade, decorrente de chamadas recursivas que podem levar a estouros de pilha e ataques de negação de serviço, foi corrigida na versão 2.7.0. O mantenedor Sebastian Pipping, após entrar em contato com várias empresas para obter ajuda, colaborou com a Siemens e outras por dez meses para resolver três variantes do problema. A versão também inclui outras melhorias, como um novo fuzzer e binários de 64 bits para Windows. Esta história serve como um lembrete dos riscos de segurança ocultos mesmo em técnicas de programação aparentemente simples e da importância da colaboração da comunidade de código aberto.