摘要:利用技術研究人員表示至少有種不同的技術可以利用源代碼標記的視覺重新排序����。而作為商業軟件供應商需要滿足的關鍵要點���,是確保軟件供應鏈安全���,保證源代碼安全性及完整性�����,定期對應用程序進行安全測試和修復,確保軟件源組件及開源框架等來源安全可信�����。
盡管 CVE 計劃尚未為此漏洞分配嚴重性�,但其云、服務器和數據中心產品受該漏洞影響的Atlassian 已根據Atlassian 嚴重性級別將其嚴重性評為“高” 。但紅帽產品安全部門根據其CVSS v3嚴重性指標�����,將此漏洞評為具有中等安全影響�。
利用技術
研究人員表示至少有3種不同的技術可以利用源代碼標記的視覺重新排序。
1-早期返回:在早期返回利用技術中,對手將一個真正的返回語句偽裝成一個注釋或字符串字面量,因此他們可以使一個函數比看起來更早地返回。它通過執行在注釋中顯示的return語句,導致函數短路�。
2-注釋掉:在這種漏洞利用技術中����,看起來是合法代碼的文本實際上存在于注釋中�����,因此永遠不會執行�����。這允許對手向審查者展示一些看起來正在執行但從編譯器或解釋器的角度來看并不存在的代碼。
3-擴展字符串:此漏洞利用導致部分字符串文字在視覺上顯示為代碼���??雌饋碓谧址淖种獾奈谋緦嶋H上位于其中,并且具有與注釋掉相同的效果���,從而導致字符串比較失敗。
這些攻擊在 C�����、C++�����、C#��、JavaScript、Java����、Rust�����、Go 和 Python 編程語言中成功實施概念驗證攻擊��,并在Ubuntu上的gcc v7.5.0和MacOS上的Apple clang v12.0.5上成功驗證了這些攻擊。
在上面的例子中����,研究人員展示了如何在C++中執行同形文字攻擊�。他們使用了兩個看起來相似但實際上不同的 H���,藍色的拉丁語H和紅色的西里爾字母Н�。當使用clang++編譯時,該程序輸出文本“Goodbye, World!”研究人員表示��。
通過這個例子可以看出����,“攻擊者可以在導入到目標的全局命名空間的上游包中定義這樣的同形函數�����,然后從受害者代碼中調用該函數����?!?/p>
加強防御
研究人員建議的最簡單的防御策略是禁止在語言規范和實現這些語言的編譯器中使用文本方向控制字符。為了進一步解釋該策略�,他們將其分為三個部分:
支持Unicode的編譯器��、解釋器和構建管道需要對注釋或字符串字面量中的未終止雙向控制字符以及帶有混合腳本易混淆字符的標識符顯示錯誤或警告。
語言規范應該正式禁止在注釋和字符串字面量中使用未終止的雙向控制字符�����。
代碼編輯器和存儲庫前端應該用視覺符號或警告使雙向控制字符和混合腳本易混淆字符具有可辨性����。
目前盡管有近20家軟件供應商意識到了這一威脅,但多個編譯器仍無法阻止Trojan Source攻擊方法����。由于許多維護者仍在實施補丁�,這兩位研究人員建議政府和公司確定他們的供應商���,并迫使他們采取必要的防御措施���。
目前����,維護代碼存儲庫的三家公司目前正在部署針對特洛伊木馬源的防御措施�。
目前開源軟件呈現兩個特點,一個是量多另一個是成長速度快���。在日常軟件開發中更是離不開開源組件,當今軟件中超過90%的應用程序包含來自第三方庫的代碼。而作為商業軟件供應商需要滿足的關鍵要點,是確保軟件供應鏈安全,保證源代碼安全性及完整性���,定期對應用程序進行安全測試和修復,確保軟件源組件及開源框架等來源安全可信。
參讀鏈接:
www.bleepingcomputer.com/news/securi…
thehackernews.com/2021/11/new…
