安全研究人员破解了用于加密主要Web应用程序中数据的主要XML框架。来自德国鲁尔大学的两名研究人员在10月19日于芝加哥举行的ACM计算机和通信安全会议上展示了针对XML密码块链接模块的实际攻击。该技术会影响使用XML加密标准支持的任何算法加密的消息，包括流行的AES和DES。

研究人员在一份声明中说：ldquo;通过从接收到的错误消息中收集信息，我们能够通过将修改后的密文发送到服务器来解密数据。rdquo;

XML，或可扩展标记语言，用于存储和传输数据，并广泛用于Web应用程序，例如商业通信，电子商务，金融服务，医疗保健以及政府和基础设施。XML加密在2002年由互联网标准组织万维网联盟(W3C)标准化，在Apache，Red Hat，IBM和Microsoft的XML框架中广泛使用。

研究人员之一尤拉middot;索莫罗夫斯基(Juraj Somorovsky)补充说：ldquo;没有简单的补丁可以解决这个问题，因此，我们建议尽快更改标准。rdquo;

研究人员建议用专注于消息机密性和消息完整性的机制来代替XML加密中的CBC模块。

研究人员说，然而，采用一种新方法并更改标准可能会影响现有部署，并导致与较旧应用程序的向后兼容性问题。

潜在的攻击媒介包括向目标系统发送虚假消息，然后使用系统返回的信息来破解加密。

研究人员说：ldquo;我们证明，对手平均每个纯文本字节只能执行14个请求，从而可以解密密文。rdquo; ldquo;这对所有当前使用的XML加密实现构成了严重且真正实际的安全威胁。rdquo;

在发布其论文之前，德国团队通过W3C邮件列表通知了所有受影响的XML框架提供程序，包括Amazon.com，IBM，Microsoft和Red Hat。它与一些受影响的组织进行了ldquo;变通办法的深入讨论rdquo;。

Amazon.com在10月20日承认了该问题，并表示已修复其弹性计算云(EC2)基础结构中基于XML的消息协议简单对象访问协议(SOAP)中的相关漏洞。该公司还检查以确保没有客户被潜在的攻击者作为目标。

该公司在亚马逊网络服务安全公告中写道：ldquo;研究表明，SOAP解析中的错误可能导致特制的SOAP请求具有重复的消息元素和/或丢失的加密签名。rdquo; 该通报称：ldquo;如果发生这种情况，有权访问未加密SOAP消息的攻击者可能会以另一个有效用户的身份采取行动，并执行无效的EC2行动。rdquo;

亚马逊表示，攻击者通常很难获得预签名的SOAP请求或签名的证书，但他承认，如果客户通过纯HTTP连接而不是更安全的HTTPS协议发送SOAP请求，则有可能。据亚马逊称，研究人员还披露了跨站点脚本缺陷，这些缺陷将使攻击者可以获得证书。

这不是第一次针对加密协议中的CBC模式。去年，两名研究人员开发了一种ldquo;填充Oracle攻击rdquo;，以解密网站的加密cookie并劫持用户的安全会话。该技术影响了Microsoft ASP.NET框架的安全性，并迫使Microsoft紧急修补程序以弥补漏洞。