影响众多编程语言、引发供应链攻击,剑桥大学发布「木马源」漏洞
最近,剑桥大学的研究者公布了一种名为 Trojan-Source 漏洞,可能危及软件和第一手供应链。
论文地址:https://trojansource.codes/trojan-source.pdf
GitHub 地址:https://github.com/nickboucher/trojan-source
第一种是通过 Unicode 的 Bidi 算法(CVE-2021-42574),该算法处理从左到右(如英语)和从右到左(如阿拉伯语和希伯来语)脚本显示顺序。该漏洞允许对字符进行视觉上的重新排序,使其呈现与编译器和解释器所不同的逻辑顺序;
第二种是同源攻击 (CVE-2021-42694),两个不同的字符具有相似的视觉表示,例如拉丁语 H 和西里尔字母Н。
注释:大多数编程语言都允许编译器和解释器忽略所有文本(包括控制符)注释;
字符串:许多编程语言允许字符串可以包含任意字符,同理也包括控制符。
4、欠债3000亿,宣布破产!昔日民族品牌,为何总沦为反面教材?
5、华为首次自曝“天才少年”成果:入职不到一年就干成这件大事,网友:值200万年薪!
评论