聲明：該文章來(lái)自（cnbeta）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

Light Blue Touchpaper 今日分享了一份標(biāo)題為《木馬源碼：隱形漏洞》的文章，其中提到了一些“酷炫”的新技巧，以充分利用難以被人類(lèi)代碼審核人員當(dāng)場(chǎng)抓獲的目標(biāo)漏洞。據(jù)悉，想要將漏洞引入某款軟件，制作者可嘗試在一段晦澀的代碼片段中插入一個(gè)不顯眼的“錯(cuò)誤”。那樣即使操作系統(tǒng)等關(guān)鍵開(kāi)源項(xiàng)目制定了嚴(yán)格的人工審核流程，但邪惡的代碼還是很容易被漏過(guò)。

（來(lái)自：Light Blue Touchpaper |?PDF）

Ross Anderson?寫(xiě)道：“我們發(fā)現(xiàn)了操縱源代碼文件編碼的新方法，特點(diǎn)是讓人類(lèi)審核員和編譯器看到不同的執(zhí)行邏輯”。

據(jù)悉，這種特別的有害方法利用了 Unicode 的方向覆蓋字符，以將真實(shí)代碼隱匿于字符迷藏之下。

研究人員已證實(shí)，這種攻擊已波及 C、C++、C#、JavaScript、Java、Rust、Go、以及 Python 等變成語(yǔ)言，并且有望擴(kuò)大覆蓋其它現(xiàn)代語(yǔ)言。

除了編號(hào)為?CVE-2021-42574?的通用漏洞披露報(bào)告，MITRE 還指出了可利用“同形文字”（視覺(jué)上相似的字符）的?CVE-2021-42694?攻擊方法。

為了給漏洞修復(fù)騰出時(shí)間，安全研究人員特地拖了 99 天才正式披露。目前許多編譯器、解釋器、代碼編輯器、以及存儲(chǔ)庫(kù)，都已經(jīng)落實(shí)了專(zhuān)門(mén)的防御手段。

Ross Anderson 補(bǔ)充道，這項(xiàng)攻擊的靈感，源于其近期在“不可查覺(jué)的擾動(dòng)”等方面的最新工作。

其使用方向性覆蓋、同形文字、以及其它 Unicode 功能，實(shí)現(xiàn)了用于有毒內(nèi)容過(guò)濾、機(jī)器翻譯和其它自然語(yǔ)言處理（NLP）等任務(wù)，且基于文本的機(jī)器學(xué)習(xí)系統(tǒng)。

感興趣的朋友，可移步至 trojansource.codes 項(xiàng)目門(mén)戶(hù)，查看有關(guān)“木馬源碼”（Trojan Source）攻擊的更多細(xì)節(jié)、或在?GitHub?上查看概念驗(yàn)證。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/