这个Unicodebug威胁到所有源代码的源代安全

2021-11-03 15:11:50满曼建导读学术网络安全研究人员标记了一个影响大多数计算机代码编译器和许多软件开发环境的奇怪漏洞。剑桥大学的安全研究人员发现，该漏洞影响所有包含双向覆盖(Bidi)Unicode代码点的源代源代码，在某些情况下，安全这可能使恶意用户能够引入审查代码和编译代码之间的源代差异。通过将UnicodeBidi覆盖字符注入注释和字符串中，安全攻击者可以在大多数现代语言中生成句法有效的源代源代码，其

学术网络安全研究人员标记了一个影响大多数计算机代码编译器和许多软件开发环境的安全奇怪漏洞。剑桥大学的源代研究人员发现，该漏洞影响所有包含双向覆盖(Bidi)Unicode代码点的安全源代码，在某些情况下，源代这可能使恶意用户能够引入审查代码和编译代码之间的安全差异。

“通过将UnicodeBidi覆盖字符注入注释和字符串中，源代攻击者可以在大多数现代语言中生成句法有效的安全源代码，其中字符的源代显示顺序呈现出与实际逻辑不同的逻辑。实际上，我们将程序A转换为程序B，”研究人员在他们的研究论文中指出。

简而言之，这个被研究人员称为TrojanSource并被追踪为CVE-2021-42574的漏洞，利用了Unicode等文本编码标准的微妙之处，引入了逻辑上的变化，这实质上使攻击者能够引入有针对性的漏洞。

研究人员认为，基于此漏洞的攻击对保护软件供应链构成了巨大挑战。

研究人员指出：“如果攻击者通过欺骗人类审阅者成功地将目标漏洞提交到开源代码中，下游软件很可能会继承该漏洞。”

研究人员甚至在他们的论文中提供了一个利用此漏洞的攻击示例，称他们已经证实基于此漏洞的攻击适用于几乎所有现代编程语言编写的代码，包括C、C++、C#、JavaScript、Java、Rust、Go和Python。

鉴于其深远的影响，漏洞披露与多个组织进行了协调，其中一些组织现在正在发布更新以解决安全漏洞。