日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線(xiàn)溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
警惕!易隱藏的“木馬源”代碼漏洞正在向企業(yè)供應(yīng)鏈發(fā)起攻擊

兩名來(lái)自劍橋大學(xué)的研究人員Nicholas Boucher與Ross Anderson,在本周揭露了一個(gè)藏匿在統(tǒng)一碼(Unicode)中的安全漏洞,此一編號(hào)為CVE-2021-42574的漏洞,將影響所有支援Unicode的程式語(yǔ)言,目前已確定受到波及的涵蓋了C、C++、C#、JavaScript、Java、Rust、Go與Python等,推測(cè)可能也有其它受害的語(yǔ)言。該漏洞將允許駭客于開(kāi)源碼中、注入人類(lèi)程式碼審查員看不見(jiàn)的安全漏洞,因而被研究人員稱(chēng)為木馬源(Trojan Source)攻擊。

創(chuàng)新互聯(lián)是一家專(zhuān)注于網(wǎng)站制作、成都網(wǎng)站設(shè)計(jì)與策劃設(shè)計(jì),巴林右旗網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專(zhuān)注于網(wǎng)站建設(shè)十多年,網(wǎng)設(shè)計(jì)領(lǐng)域的專(zhuān)業(yè)建站公司;建站業(yè)務(wù)涵蓋:巴林右旗等地區(qū)。巴林右旗做網(wǎng)站價(jià)格咨詢(xún):028-86922220

木馬源漏洞和攻擊模式

Anderson和他的同事Nicholas Boucher(博士生)揭示了兩種攻擊模式,統(tǒng)稱(chēng)為特洛伊源攻擊。

漏洞涉及到兩個(gè)CVE,這兩個(gè)CVE都是根據(jù)Unicode規(guī)范發(fā)布的。研究人員稱(chēng)之為對(duì)Unicode的“潛在破壞性”攻擊雙向算法(BiDi),從14.0版開(kāi)始跟蹤為CVE-2021-42574。BiDi處理文本的顯示順序,例如,使用拉丁字母從左到右,或者從右到左使用阿拉伯語(yǔ)或希伯來(lái)語(yǔ)字符。

另一個(gè)相關(guān)的攻擊依賴(lài)于使用視覺(jué)上相似的字符,稱(chēng)為同形符,跟蹤為CVE-2021-42694號(hào)。

為了給漏洞修復(fù)騰出時(shí)間,安全研究人員特地拖了99天才正式披露相關(guān)漏洞信息。與此同時(shí),研究人員已經(jīng)與19個(gè)組織進(jìn)行了協(xié)調(diào),其中許多組織現(xiàn)在正在發(fā)布更新,以解決代碼編譯器、解釋器、代碼編輯器和存儲(chǔ)庫(kù)中的安全弱點(diǎn)。

更多的技術(shù)細(xì)節(jié)可以在他們的論文中找到。

解決措施

研究人員已證實(shí),這種攻擊已波及 C、C++、C#、JavaScript、Java、Rust、Go、以及 Python 等編程語(yǔ)言,并且有望擴(kuò)大覆蓋其它現(xiàn)代語(yǔ)言。

他們還提出了一些防御措施,這些措施應(yīng)該在編譯器、解釋器和支持Unicode的構(gòu)建管道中實(shí)現(xiàn);語(yǔ)言規(guī)范;以及代碼(文本)編輯器和存儲(chǔ)庫(kù)前端。

他們向各種組織和公司披露了他們的發(fā)現(xiàn)(在禁令下),這些組織和公司可以建立這些防御。

“我們認(rèn)為,這個(gè)問(wèn)題的長(zhǎng)期解決方案將部署在編譯器中。我們注意到,幾乎所有的編譯器都已經(jīng)防范了一種相關(guān)的攻擊,這種攻擊涉及使用零寬度字符創(chuàng)建對(duì)抗性函數(shù)名,而有三種編譯器會(huì)對(duì)另一種生成錯(cuò)誤,這就利用了函數(shù)名中的同形符號(hào),”他們分享道。

“我們?cè)诠_(kāi)期間聯(lián)系的編譯器維護(hù)者中,大約有一半正在開(kāi)發(fā)補(bǔ)丁,或者已經(jīng)承諾要這么做。當(dāng)其他人在拖后腿時(shí),在這段時(shí)間內(nèi)部署其他控制是明智的,因?yàn)檫@是快速和廉價(jià)的,也是非常必要的。三家維護(hù)代碼庫(kù)的公司也部署了防御措施。我們建議依賴(lài)關(guān)鍵軟件的政府和公司應(yīng)該確定其供應(yīng)商的立場(chǎng),對(duì)他們施加壓力,要求他們實(shí)施充分的防御,并確保任何漏洞都被他們工具鏈上的其他控制覆蓋?!?/p>

目前,已經(jīng)實(shí)施修復(fù)并在其供應(yīng)鏈中進(jìn)行檢測(cè)的組織包括Rust團(tuán)隊(duì)、GitHub、RedHat和Atlassian(多個(gè)產(chǎn)品受到影響)。


網(wǎng)頁(yè)標(biāo)題:警惕!易隱藏的“木馬源”代碼漏洞正在向企業(yè)供應(yīng)鏈發(fā)起攻擊
當(dāng)前路徑:http://www.dlmjj.cn/article/cdjjhcc.html