很多公司使用XML加密來保護web服務間的通信，包括IBM、微軟和RedHat等。來自德國波鴻魯爾大學的研究人員JurajSomorovsky和TiborJager策劃了一次攻擊，能夠解密受CBC(密碼分組鏈接)模式的DES(數據加密標準)或者AES(高級加密標準)保護的數據。他們計劃在今年稍后舉行的ACM計算機和通信安全會議上展示更詳細的研究結果。

根據該大學電氣和信息技術系老師J rgSchwenk表示，XML加密標準中建議的所有數據加密算法都受到了這種攻擊的影響，該攻擊依賴于向服務器發送修改的密文以及分析錯誤作為線索。

同樣的技術也被安全研究人員JulianoRizzo和ThaiDuong用在他們的ASP.NET框架paddingoracleattack攻擊中，他們因此獲得了今年的Pwnie最佳服務器端bug獎。近日，這兩名研究人員還演示了針對SSL/TLS(安全套接字層/傳輸層安全)的單獨攻擊，這種攻擊也利用了CBC模式，與本文提到的類似。

“所有這些算法都容易受到這種攻擊，只要它們使用的是CBC模式，所以所有應用了這個標準的加密都會受到影響，”Schwenk表示。

這次攻擊成功地對很多XML加密標準應用進行了測試，波鴻魯爾大學的研究人員通過萬維網聯盟(W3C)的郵件地址清單通知了受影響的供應商。

“微軟正在研究這種攻擊對某些XML加密標準應用的影響，我們將繼續對我們的產品進行評估以確定哪些應用程序正在使用這種標準，”一位公司發言人表示。

微軟公司目前還沒有作出任何建議，“我們將根據微軟關于第三方開發人員對XML的應用的建議作出調整，”另一位發言人表示。

研究人員稱，目前還沒有解決問題的快速辦法，這個標準需要進行修改，他們也將努力總結一些相應的對策。