Новости Software

Во многих компиляторах нашли уязвимость, которая позволяет прятать вредоносный код в исходниках

Исследователи из Кембриджского университета раскрыли информацию об уязвимости, которая затрагивает многие современные компиляторы программного кода. В работе под названием Trojan Source описана коварная атака, в рамках которой злоумышленники могут скрыть целевой вредоносный код в исходниках программного обеспечения.

Изображение: Gerd Altmann / Pixabay

Изображение: Gerd Altmann / Pixabay

Атака основывается на том, как компиляторы обрабатывают Unicode-идентификаторы, используемые для определения ориентации текста (слева направо или наоборот). Слабым местом является алгоритм Unicode Bidi, который позволяет совмещать написанные справа налево и слева направо слова. Например, благодаря этому алгоритму можно сочетать слова на арабском и английском языках. Он также позволяет написанный справа налево текст считывать слева направо и наоборот.

В некоторых случаях установленного алгоритмом Bidi упорядочивания недостаточно для переключения порядка отображения групп символов и в таких случаях используются специальные управляющие символы. Переопределение Bidi делает возможным отображение даже отдельных символов в порядке, отличном от их логического кодирования.

Использование уязвимости делает возможным добавление команд, которые будут отображаться как часть комментария или строки, когда программист будет осуществлять проверку кода. Источник отмечает, что ранее атаки такого типа использовались для маскировки расширений файлов вредоносного ПО, распространяемого по электронной почте в ходе фишинговых кампаний. Такой подход позволяет встроить в исходный код уязвимости и, если они не внесут значительных изменений в логику, то при проверке кода обнаружить их будет непросто.   

Исследователи сделали общедоступным данные о своей работе спустя несколько месяцев после её завершения. За это время были подготовлены несколько патчей для исправления проблемы для разработчиков, использующих язык Rust. Дополнительные рекомендации по решению этой проблемы для других языков программирования будут опубликованы позднее.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
Прежде чем оставить комментарий, пожалуйста, ознакомьтесь с правилами комментирования. Оставляя комментарий, вы подтверждаете ваше согласие с данными правилами и осознаете возможную ответственность за их нарушение.
Все комментарии премодерируются.
Комментарии загружаются...
window-new
Soft
Hard
Тренды 🔥
Бывший продюсер Dragon Age назвал «магию BioWare» глупостью 31 мин.
Московские камеры видеонаблюдения будет контролировать нейросеть за 4,2 млрд рублей 2 ч.
Пользователи Instagram теперь могут создавать 3D-аватары 2 ч.
Европейский регулятор призвал к запрету энергоёмких режимов майнинга криптовалют 3 ч.
Власти Китая потребуют от интернет-гигантов получать одобрение на инвестирование или привлечение капитала 3 ч.
В игровой сервис Netflix вошёл карточный роглайк в стиле Hearthstone 3 ч.
Глава Activision Blizzard подумывал купить крупное игровое издание для «смягчения» ситуации после скандала с домогательствами 4 ч.
До конца года будут запущены сервисы TON Foundation от последователей Дурова 4 ч.
Apple: из-за антимонопольных законов «миллионы американцев» могут пострадать от вредоносных атак 4 ч.
Журналисты выставили первые оценки Rainbow Six Extraction — идеальная игра для Game Pass? 5 ч.
MediaTek: первые устройства с Wi-Fi 7 выйдут на рынок уже в 2023 году 4 мин.
MediaTek поделилась своим виденьем 6G — внедрение технологии начнётся к 2030 году 25 мин.
Роботы отберут у европейцев около 12 миллионов рабочих мест к 2040 году 37 мин.
Поглощение Microsoft компании Activision Blizzard привлечёт повышенное внимание антимонопольных органов 2 ч.
Обрыв интернет-кабелей из-за землетрясения вынудил Королевство Тонга использовать лодки, радиостанции и спутниковые телефоны для поддержки связи 3 ч.
AMD представила Radeon PRO W6400 — бюджетную профессиональную видеокарту с 6-нм чипом и ценой $229 3 ч.
Emirates, Air India и другие авиакомпании отменили рейсы в США из-за вышек 5G-сетей рядом с аэропортами 4 ч.
Samsung случайно показала загадочный планшет с «чёлкой» — вероятно, это Galaxy Tab S8 Ultra 5 ч.
Перспективным источником лития для аккумуляторов станут геотермальные источники 5 ч.
Акционеры Tesla через суд потребовали у Маска $13 млрд за поглощение SolarCity 5 ч.