Perché i programmi di posta elettronica bloccano i file xml?

Naviga le tue risposte
62

Un collega mi ha inviato un file .xml oggi, che è stato bloccato da Outlook. Mentre stavamo discutendo la soluzione alternativa (mettila in un .zip), dobbiamo chiederci perché .xml i file sono bloccati.

Il mio collega calcola perché il browser è il renderer predefinito per i file .xml e forse c'è un vettore di attacco passando un file html con un'estensione xml, ma l'ho provato su Firefox e ho mostrato l'albero dei documenti come una cosa nuda file xml.

Qualcuno ha qualche esempio in cui un file xml può essere aggiunto come allegato per fare qualcosa di malevolo (o almeno, più di qualsiasi altro allegato casuale che non sia bloccato)?

    
posta KidneyChris 26.10.2015 - 13:31
fonte

3 risposte

72

Possibili attacchi basati su XML sono:

  1. Bomba XML ( alias di Billion LOLs ). Questo è un file XML che utilizza un'usanza ricorsiva definizione del tipo di entità per attaccare un parser XML vulnerabile. La bomba XML ha una dimensione molto piccola sul disco, ma si ingrandisce quando viene analizzata, potenzialmente esaurendo la memoria disponibile sul dispositivo delle vittime.
  2. Tipo di entità esterna che potrebbe non restituire . In questo caso l'XML documento definisce un tipo di entità esterna in un URL che non risponde o risponde lentamente. Ciò potrebbe causare un DoS sul dispositivo delle vittime.
  3. Tipo di entità esterna che espone informazioni sensibili. Questo è simile al punto 2 (ed è spiegato allo stesso link), ma in questo caso il tipo di entità esterna tenta di esporre file locali sensibili (ad esempio file:///etc/passwd )

Se uno di questi attacchi può avere successo dipende dal parser XML installato sul computer locale. Penso che le applicazioni come le versioni più recenti di IE, Firefox ecc. Proteggano da queste, ma versioni più vecchie o alcuni software personalizzati potrebbero essere vulnerabili.

    
risposta data 26.10.2015 - 14:14
fonte
15

Un utente malintenzionato può utilizzare un file XML per ragioni nefaste e, come hai chiesto se qualcosa del genere si è verificato in passato, ci sono stati esempi di tali file allegati XML dannosi in passato.

In realtà, l'attacco che ho menzionato è recente e fatto entro la fine di febbraio 2015, in cui alle aziende viene inviato uno spam con un file XML dannoso allegato:

QuestoallegatoèundocumentoXMLdiMicrosoftWord;MicrosofthaungestorespecialeperifileXMLchesceglieràl'applicazionepergestirliinbasealrilevamentodeicontenuti,comedescritto qui , quindi fare doppio clic su di esso può portare MS Word ad essere eseguito e quindi caricare i macro dannosi incorporati al suo interno . Ecco il diagramma che mostra come è stato memorizzato il documento dannoso:

source

    
risposta data 26.10.2015 - 13:46
fonte
5

Se bloccano l'HTML allora ha anche senso bloccare XML perché può essere trasformato usando XSLT in XHTML (la trasformazione è supportata da tutti i browser recenti che passano il test Acid3) che è praticamente (specialmente per quanto riguarda la sicurezza) come normale HTML.

    
risposta data 26.10.2015 - 17:22
fonte

Leggi altre domande sui tag

Cercando di creare un sito basato su Django usa solo HTTPS, non sono sicuro che sia sicuro? Quali sono le implicazioni di una collisione SHA-1 trovata?