Дослідники виявили новий метод атаки, з яким зловмисники можуть додати вразливості у відкритий код і розробники не зможуть цього помітити. Атака називається Trojan Source і використовує простий трюк, для якого не потрібні модифікації компілятора.
Цей метод працює з популярними мовами програмування, зокрема з C, C++, C#, JavaScript, Java, Rust, Go і Python.
Trojan Source використовує Unicode-символи, які змінюють напрямок тексту (зліва направо, LRI, чи справа наліво, RLI). У такий спосіб можна змінити порядок коду та його логіку. Річ у тім, що двонапрямні елементи керування LRI й RLI є невидимими символами, рядки з різним напрямком можна комбінувати, щоб вони перекривали один одного. З такими інструкціями компілятор може компілювати код, який повністю відрізняється від того, що бачить людина.
Наприклад, на зображенні видно код, який людина вважатиме звичайним коментарем, але компілятор все ж компілюватиме другий рядок звідси.
Детальніший приклад мовою Java:
Дослідники виявили цю у редакторах VS Code, Atom, Emacs та у переглядачах коду в GitHub, BitBucket у всіх основних браузерах.
Під час написання цього тексту вийшли виправлення цієї вразливості для Rust, LLVM/Clang, GCC, Python, GitHub, binutils, Jira й Bitbucket.
Розробникам рекомендується налаштувати в компіляторах та інструментах збірки попередження, якщо у коментарях чи рядкових літералах є непарні символи, що змінюють напрямок тексту. Також можна заборонити такі символи у специфікаціях мови та в редакторах коду.
Ще немає коментарів