剑桥大学发布「木马源」漏洞

最近，剑桥大学的研究者公布了一种名为 Trojan-Source 漏洞，可能危及软件和第一手供应链。

漏洞与攻击无处不在。最近，剑桥大学的两位研究人员发现了一个可以影响计算机代码编译器和软件开发环境的漏洞——Trojan Source(木马源) 。该漏洞几乎影响所有计算机语言，包括对 C、C++、C#、JavaScript、Java、Rust、Go 和 Python 。

此外，恶意代码可以将 Trojan Source 用于供应链攻击。

论文地址：https://trojansource.codes/trojan-source.pdf

GitHub 地址：https://github.com/nickboucher/trojan-source

Trojan Source 攻击方法利用的是字符编码标准 Unicode ，有以下两种攻击方式：

第一种是通过 Unicode 的 Bidi 算法(CVE-2021-42574)，该算法处理从左到右(如英语)和从右到左(如阿拉伯语和希伯来语)脚本显示顺序。该漏洞允许对字符进行视觉上的重新排序，使其呈现与编译器和解释器所不同的逻辑顺序;

第二种是同源攻击 (CVE-2021-42694)，两个不同的字符具有相似的视觉表示，例如拉丁语 H 和西里尔字母Н。

研究人员表示如果攻击者通过逃过人类审阅成功地将目标漏洞提交到开源代码中，下游软件可能会继承该漏洞。在 GitHub 上的存储库中，他们提供了概念验证 (PoC) 脚本。