Flux RSS : attention, danger

Lors de la conférence Black Hat qui s'est déroulée la semaine dernière à Las Vegas, Bob Auger, un expert en sécurité chez SPI Dynamics, a attiré l'attention sur une faille de sécurité présente dans la plupart des lecteurs RSS (Really Simple Syndication). Ces derniers permettraient en effet l'exécution de code javascript qui pourrait être utilisé pour l'envoi d'un code malin par la source RSS elle-même.

Parmi les logiciels testés et reconnus vulnérables, Bloglines se trouverait en tête de liste, suivi de Sharp Reader, RSS Reader, RSS Owl et Feed Demon mais, selon Bob Auger, cette liste n'est pas exhaustive.

Bob Auger conseille d'une part de prendre la menace au sérieux et d'autre part de bloquer les fonctions de script, l'ouverture d'applets Java et les plug-in installés par les programmes concernés, ce qui est en général gérable dans le menu Options.