Codenomicon是协议分析模糊工具Defensics的安全生产商,今年早些时候添加了对XML代码漏洞的测试方法。其CEO Dave Chartier表示:“这样的应用程序是非常脆弱的,而这种应用软件的数量可能有数以百万计。”
Codenomicon已经与工业界和开源团体分享了它的研究结果,一些官方的与XML漏洞相关的补丁预计也将在星期三提供。此外,与Codenomicon紧密合作的芬兰计算机紧急反应小组(Computer Emergency Response Team in Finland,CERT-FI)也将发布一份通用的安全建议 。
模糊工具(fuzzing tools )-有时又被称为负测试工具(negative-tester)--主要是通过提交合法和异常的请求并分析其反应来检测漏洞。Codenomicon发现XML解析器中的漏洞会很容易被用来发起DoS攻击、破坏数据,甚至通过基于XML的内容传送恶意的有效载荷。
Codenomicon说,黑客可以通过诱骗用户打开特别制作的XML文件来利用该漏洞,或者通过通过向处理XML内容的Web服务提交恶意请求来利用。Chartier说可以预见黑客将会发起与XML相关的攻击,他建议大家遵照规范操作,比如打上补丁。
该公司指出,XML在.Net,SOAP, VoIP, Web 服务,以及工业自动化应用等诸多领域中广泛运用。
“ XML的应用是无处不在--在一些我们并不希望它出现的系统和服务中也还是可以看到它” CERT-FI主管Erka Koivunen在准备好的发言中说:“对我们来说,至关重要的是,使用受影响的库的最终用户和组织要升级到新版本。此项声明还只是一个长期整治过程的开端,只有当生产系统都打上了补丁时才算完。“
Codenomicon还期望在2009年9月的迈阿密Hacker Halted会议上深入地探讨各种XML漏洞。