Specyfikacja XML Encryption podatna na atak
Badacze z Ruhr-Universität Bochum twierdzą, że specyfikacja XML Encryption, która definiuje sposób szyfrowania elementów w komunikacji między usługami sieciowymi, jest podatna na atak. XML Encryption wykorzystują m.in. tacy giganci jak IBM, Microsoft czy Red Hat.
Juraj Smorovsky i Tibor Jager znaleźli sposób na przeprowadzenie ataku na komunikację szyfrowaną za pomocą DES i AES w trybie wiązania bloków zaszyfrowanych (CBC). Obaj uczeni informują, że na atak podatne są wszystkie algorytmy szyfrujące wykorzystywane w standarcie XML-Enc. Atak polega na wysłaniu do serwera zmodyfikowanego kryptogramu, a następnie przeanalizowaniu występujących błędów.
Takiej techniki użyli w bieżącym roku Juliano Rizzo i Thai Duong do przeprowadzenia ataku na ASP.NET, co zapewniło im nagrodę Pwn2Own dla znalazców najlepszego błędu po stronie serwera. Niedawno pokazali, że można w ten sposób zaatakować również protokół SSL/TLS.
Niemieccy badacze zawiadomili już o problemie konsorcjum W3C, które jest autorem standardu XML-Enc. Rzecznik prasowy Microsoftu stwierdził, że koncern również został poinformowany. Sprawdzamy nasze produkty, by sprawdzić, które z nich używają tej implementacji - dodał. Na razie firma nie wydała żadnych zaleceń. Tam, gdzie będzie to konieczne, przekażemy instrukcje dotyczące microsofowej implementacji XML-a - stwierdził rzecznik.
Odkrywcy luki twierdzą, że nie da się jej łatwo naprawić i konieczna będzie zmiana standardu.
Komentarze (0)