Xml-kryptering enligt standarden XML Encryption används för att säkra kommunikation mellan webbtjänster och är vanligt förekommande. Tyska forskare säger sig ha hittat ett sätt att dekryptera information som skyddas med standarden, något som i praktiken innebär att kommunikationen mellan stora mängder webbtjänster är osäker.

”Företag som IBM, Microsoft och Redhat Linux använder xml-kryptering för att integrera webbtjänster åt stora kunder”, skriver forskarna Juraj Somorovsky och Tiber Jager vid Ruhr University Bochum i ett pressmeddelande där man varnar för omfattande konsekvenser av sårbarheten.

Vid kommunikation enligt standarden krypteras data med des eller aes samt blockkryptot cbc. Oavsett krypto kan attacker utföras för att framgångsrikt dekryptera information. ”Det här utgör ett allvarligt och reellt säkerhetshot mot alla implementationer av XML Encryption”, skriver forskarna i ett dokument som beskriver hur en attack genomförs.

Somorovsky och Jager har via W3C, World Wide Web Consortium, underrättat berörda leverantörer.

- Microsoft är medvetna om forskningsrön kring en branschomfattande fråga som påverkar vissa implementationer av xml-kryptering. Vi utvärderar våra produkter för att slå fast vilka, om några, program använder implementationen i fråga, säger en talesman för Microsoft till IDG News.

Några rekommendationer kring åtgärder för att skydda sig mot hotet finns i dagsläget inte. De tyska forskarna hävdar att problemet saknar en enkel lösning och att förändringar av W3C:s säkerhetsstandard krävs. Dokumentet som beskriver attacken finns på Ruhr University Bochums webbplats.