详细内容或原文请订阅后点击阅览
木马源漏洞可能导致隐蔽应用程序中毒
无
来源:Packet Storm _恶意软件源代码编译方式中新披露的一个漏洞可能使企业面临上游攻击的风险。
英国剑桥大学的两位研究人员表示,一种被称为“特洛伊木马源”的情况允许攻击者插入恶意源代码,从而逃避安全审查人员的检测。
“特洛伊木马源”研究人员 Nicholas Boucher 和 Ross Anderson 表示,问题在于代码片段可以在源代码中以某种方式呈现,然后在编译后以完全不同的方式运行。
“自 1960 年代以来,研究人员一直在研究形式化方法,以数学方式证明编译器的输出正确实现了提供给它的源代码,”研究人员解释说。
“源代码逻辑和编译器输出逻辑之间的许多差异源于编译器优化,对此可能很难推理。”
具体来说,研究人员发现,Unicode 双向算法 (Bidi) 可以被操纵以隐藏潜在的恶意代码。Bidi 指令旨在实现从左到右的语言(如英语或俄语)和从右到左的语言(如阿拉伯语和希伯来语)之间的互操作性,允许根据需要切换文本顺序。
两人发现,在某些情况下,Bidi 指令也可以隐藏在源代码中。这允许以某种方式操纵源代码的外观,以便在审查进行质量或安全检查时逃避检测。
在某些情况下,操纵会导致指令的执行方式,例如过早结束操作的“提前返回”攻击。在其他情况下,Bidi 操纵将允许将整个代码块(例如安全措施或输入验证)读取为注释而不执行。
2020 年 SolarWinds 供应链攻击 Rust GitHub