Microsoft Office
2003: le format XML pointé du doigt
Par JDNet
Solutions (Benchmark Group)
URL : http://www.journaldunet.com/solutions/0303/030325_microsoft.shtml
Lancer l'impression
Mardi 25 mars 2003
A quelques mois de sa sortie officielle, la
version 2003 de la suite bureautique de Microsoft est d'ores et déjà
placée sous le feu de la critique des éditeurs d'antivirus.
Ces réactions concernent l'une des principales nouveautés
de cette édition : la possibilité de créer des documents au
format XML contenant des macros traduites également dans ce langage.
Une macro décrite en XML au sein de Windows Server 2003 serait, pour
l'heure, assez difficilement détectable par les antivirus. Concrètement,
les indications fournies au sein de l'entête des fichiers ne seraient
pas suffisantes pour permettre aux solutions de repérer précisément
l'emplacement des codes en question...
D'après
certains experts, la correction d'une telle faille ne serait pourtant
pas très compliquée : il suffirait pour ce faire de
compléter les entêtes XML d'un élément permettant
de cerner l'adresse des macros dans les documents. Cet ajout éviterait
ainsi aux détecteurs d'avoir à scanner l'ensemble du fichier...
"Ce qui serait impossible en condition réelle de production.
Dans la plupart des cas en effet , cette opération se révélerait
beaucoup trop gourmande en ressources (machine et réseau)",
notent de concert les fournisseurs... Le spectre des attaques par déni
de service pointe à l'horizon.
A l'heure où nous écrivons
ces lignes, Microsoft n'a pas encore apporté le correctif attendu.
Le géant de Redmond a néanmoins tenu à indiquer que cette
difficulté n'était pas spécifique à Microsoft
Office 2003, mais qu'elle s'étendait à l'ensemble des documents
XML (dixit News.com).
Il est vrai que l'invocation de programmes par
le biais d'une interface XML pose nombre de problématiques... Aux
côtés de l'importance des ressources nécessaires au
parsing (ou analyse syntaxique) des messages et autres contenus XML,
existe un second défaut : les flux exécutés pour invoquer un composant publié
à l'aide d'une interface XML (WSDL par exemple) s'adosse le plus souvent
à la couche HTTP. Ils peuvent de ce fait transiter librement par le port
80 de la plus part des pare-feu en production... (voir l'article
sur cette question).
[Antoine Crochet-Damais, JDNet]
Pour tout problème de consultation, écrivez au Webmaster
Copyrights
et reproductions . Données
personnelles
Copyright 2006 Benchmark Group - 69-71 avenue Pierre Grenier
92517 Boulogne Billancourt Cedex, FRANCE
|
|