数百万企业应用面临XML导致的DoS攻击

　　Codenomicon是协议分析模糊工具Defensics的安全生产商，今年早些时候添加了对XML代码漏洞的测试方法。其CEO　Dave　Chartier表示：“这样的应用程序是非常脆弱的，而这种应用软件的数量可能有数以百万计。”

　　Codenomicon已经与工业界和开源团体分享了它的研究结果，一些官方的与XML漏洞相关的补丁预计也将在星期三提供。此外，与Codenomicon紧密合作的芬兰计算机紧急反应小组(Computer Emergency Response Team in Finland，CERT-FI)也将发布一份通用的安全建议 。

　　模糊工具(fuzzing tools )-有时又被称为负测试工具(negative-tester)--主要是通过提交合法和异常的请求并分析其反应来检测漏洞。Codenomicon发现XML解析器中的漏洞会很容易被用来发起DoS攻击、破坏数据，甚至通过基于XML的内容传送恶意的有效载荷。

　　Codenomicon说，黑客可以通过诱骗用户打开特别制作的XML文件来利用该漏洞，或者通过通过向处理XML内容的Web服务提交恶意请求来利用。Chartier说可以预见黑客将会发起与XML相关的攻击，他建议大家遵照规范操作，比如打上补丁。

　　该公司指出，XML在.Net,SOAP, VoIP, Web 服务,以及工业自动化应用等诸多领域中广泛运用。

　　“ XML的应用是无处不在--在一些我们并不希望它出现的系统和服务中也还是可以看到它” CERT-FI主管Erka Koivunen在准备好的发言中说：“对我们来说，至关重要的是，使用受影响的库的最终用户和组织要升级到新版本。此项声明还只是一个长期整治过程的开端，只有当生产系统都打上了补丁时才算完。“

　　Codenomicon还期望在2009年9月的迈阿密Hacker　Halted会议上深入地探讨各种XML漏洞。