Атака Trojan Source опасна для компиляторов большинства языков программирования - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » Атака Trojan Source опасна для компиляторов большинства языков программирования - «Новости»

Ученые из Кембриджского университета, Росс Андерсон и Николас Баучер, опубликовали информацию о концепте атаки Trojan Source (CVE-2021-42574), которую можно использовать для внедрения вредоносного кода в легитимные приложения через поля комментариев. PoC-эксплоит уже доступен на GitHub.


Атака основана на использовании двунаправленных управляющих символов в комментариях к исходному коду. Такие символы, известные как BiDi (от английского «bidirectional»), представляют собой управляющие символы Unicode, которые используются внутри текстовой строки, чтобы уведомлять о переходе от режима LTR (слева направо) к режиму RTL (справа налево) и наоборот. На практике эти символы используются исключительно для программных приложений и невидимы человеку, поскольку применяются только для встраивания текста с другим направлением чтения в большие блоки текста (например, для вставки строк на арабском или иврите).


Исследователи обнаружили, что у большинства компиляторов и редакторов кода и нет протоколов для обработки символов BiDi или сигнализации об их присутствии в комментариях к исходникам.


По мнению специалистов, злоумышленники могут вставлять управляющие символы BiDi в комментарии, которые люди не смогут увидеть, а при компиляции они будут перемещать текст из поля комментария в исполняемый код или перемещать код в комментарии, тем самым открывая приложения для атак и обходя проверки безопасности.



Атака Trojan Source опасна для компиляторов большинства языков программирования - «Новости»


«Мы убедились, что эта атака работает против C, C ++, C #, jаvascript, Java, Rust, Go и Python, и подозреваем, что она будет работать против большинства современных языков», — пишут исследователи.


Также сообщается, что помимо компиляторов проблеме подвержены несколько редакторов кода и хостиновых сервисов, перечисленные в таблице ниже.





Кроме того, по словам экспертов, компиляторы исходного кода уязвимы перед еще одной проблемой (CVE-2021-42694), связанной с омоглифами. Во время таких атак классические латинские буквы заменяются похожими символами из других алфавитов. Исследователи пишут, что вторую атаку можно использовать для создания двух разных функций, которые будут выглядеть одинаково в глазах человека, но на самом деле будут отличаться. Андерсон и Баучер заявляют, что таким способом злоумышленник может скрытно добавить вредоносный код в проект.





Исследователи резюмируют, что компиляторы и редакторы должны обнаруживать двунаправленные управляющие символы и омоглифы и обязательно сообщать о них людям. Однако пока обновление выпустили лишь разработчики, стоящие за официальным компилятором Rust.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Ученые из Кембриджского университета, Росс Андерсон и Николас Баучер, опубликовали информацию о концепте атаки Trojan Source (CVE-2021-42574), которую можно использовать для внедрения вредоносного кода в легитимные приложения через поля комментариев. PoC-эксплоит уже доступен на GitHub. Атака основана на использовании двунаправленных управляющих символов в комментариях к исходному коду. Такие символы, известные как BiDi (от английского «bidirectional»), представляют собой управляющие символы Unicode, которые используются внутри текстовой строки, чтобы уведомлять о переходе от режима LTR (слева направо) к режиму RTL (справа налево) и наоборот. На практике эти символы используются исключительно для программных приложений и невидимы человеку, поскольку применяются только для встраивания текста с другим направлением чтения в большие блоки текста (например, для вставки строк на арабском или иврите). Исследователи обнаружили, что у большинства компиляторов и редакторов кода и нет протоколов для обработки символов BiDi или сигнализации об их присутствии в комментариях к исходникам. По мнению специалистов, злоумышленники могут вставлять управляющие символы BiDi в комментарии, которые люди не смогут увидеть, а при компиляции они будут перемещать текст из поля комментария в исполняемый код или перемещать код в комментарии, тем самым открывая приложения для атак и обходя проверки безопасности. «Мы убедились, что эта атака работает против C, C , C
CSS

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: