Новости Software

Во многих компиляторах нашли уязвимость, которая позволяет прятать вредоносный код в исходниках

Исследователи из Кембриджского университета раскрыли информацию об уязвимости, которая затрагивает многие современные компиляторы программного кода. В работе под названием Trojan Source описана коварная атака, в рамках которой злоумышленники могут скрыть целевой вредоносный код в исходниках программного обеспечения.

 Изображение: Gerd Altmann / Pixabay

Изображение: Gerd Altmann / Pixabay

Атака основывается на том, как компиляторы обрабатывают Unicode-идентификаторы, используемые для определения ориентации текста (слева направо или наоборот). Слабым местом является алгоритм Unicode Bidi, который позволяет совмещать написанные справа налево и слева направо слова. Например, благодаря этому алгоритму можно сочетать слова на арабском и английском языках. Он также позволяет написанный справа налево текст считывать слева направо и наоборот.

В некоторых случаях установленного алгоритмом Bidi упорядочивания недостаточно для переключения порядка отображения групп символов и в таких случаях используются специальные управляющие символы. Переопределение Bidi делает возможным отображение даже отдельных символов в порядке, отличном от их логического кодирования.

Использование уязвимости делает возможным добавление команд, которые будут отображаться как часть комментария или строки, когда программист будет осуществлять проверку кода. Источник отмечает, что ранее атаки такого типа использовались для маскировки расширений файлов вредоносного ПО, распространяемого по электронной почте в ходе фишинговых кампаний. Такой подход позволяет встроить в исходный код уязвимости и, если они не внесут значительных изменений в логику, то при проверке кода обнаружить их будет непросто.

Исследователи сделали общедоступным данные о своей работе спустя несколько месяцев после её завершения. За это время были подготовлены несколько патчей для исправления проблемы для разработчиков, использующих язык Rust. Дополнительные рекомендации по решению этой проблемы для других языков программирования будут опубликованы позднее.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥
«Не могу подобрать слов, насколько феноменально это выглядит»: геймплейный трейлер ремейка Dead Space привёл игроков в восторг 27 мин.
Релиз стратегии Company of Heroes 3 отложили на три месяца, чтобы не разочаровать игроков 45 мин.
Вслед за «Ведьмаком»: инсайдер сообщил об отказе разработчиков Halo от собственного дорогостоящего движка в пользу Unreal Engine 5 3 ч.
Великобритания запретила оказывать IT-консалтинговые услуги клиентам из России 4 ч.
Sony планирует вложить ещё больше денег в погоне за игроками на ПК и мобильных устройствах 5 ч.
Axenix усилил экспертизу бизнес-планирования благодаря экс-команде SAP 5 ч.
Состоялся запуск VK Play: всего 5 % комиссии и семь доступных языков 6 ч.
Счётчики аналитики TikTok обнаружились на сайтах по всему интернету 7 ч.
Верховный суд США рассмотрит вопросы ответственности социальных сетей за размещаемый контент 8 ч.
Глава PlayStation Джим Райан лично донёс до европейских регуляторов опасения компании насчёт сделки Microsoft и Activision Blizzard 8 ч.
NZXT представила материнскую плату N7 B650E для процессоров AMD Ryzen 7000 2 мин.
ASUS представила платы ROG Strix, TUF Gaming, Pro Art и Prime на чипсетах AMD B650E и B650 для процессоров Ryzen 7000 42 мин.
Евросоюз утвердил полный переход на USB Type-C, и для Apple исключения не сделают 2 ч.
Просто добавь воды: учёные создали «чип» на ионных транзисторах в жидкой среде 3 ч.
Gigabyte представила платы Aorus и Aero на чипсетах AMD B650 и B650E для процессоров Ryzen 7000 3 ч.
Intel показала универсальный оптический разъём для соединения чипов 3 ч.
Киберпреступники стали концентрироваться на госсекторе и промышленности 3 ч.
Canon бросит вызов ASML — компания наладит выпуск машин для производства чипов с передовой литографией, но без EUV 3 ч.
Комплект оборудования МТС 5G Development Kit поможет разработчикам в создании устройств для работы в сетях 5G 4 ч.
NVIDIA обновила спецификации ускорителя H100 — он стал быстрее в FP32 и FP64 5 ч.