摘要:利用技術(shù)研究人員表示至少有種不同的技術(shù)可以利用源代碼標(biāo)記的視覺(jué)重新排序���。而作為商業(yè)軟件供應(yīng)商需要滿足的關(guān)鍵要點(diǎn)��,是確保軟件供應(yīng)鏈安全�����,保證源代碼安全性及完整性���,定期對(duì)應(yīng)用程序進(jìn)行安全測(cè)試和修復(fù)�,確保軟件源組件及開(kāi)源框架等來(lái)源安全可信����。
盡管 CVE 計(jì)劃尚未為此漏洞分配嚴(yán)重性,但其云����、服務(wù)器和數(shù)據(jù)中心產(chǎn)品受該漏洞影響的Atlassian 已根據(jù)Atlassian 嚴(yán)重性級(jí)別將其嚴(yán)重性評(píng)為“高” 。但紅帽產(chǎn)品安全部門根據(jù)其CVSS v3嚴(yán)重性指標(biāo)�,將此漏洞評(píng)為具有中等安全影響。
利用技術(shù)
研究人員表示至少有3種不同的技術(shù)可以利用源代碼標(biāo)記的視覺(jué)重新排序��。
1-早期返回:在早期返回利用技術(shù)中�,對(duì)手將一個(gè)真正的返回語(yǔ)句偽裝成一個(gè)注釋或字符串字面量���,因此他們可以使一個(gè)函數(shù)比看起來(lái)更早地返回�����。它通過(guò)執(zhí)行在注釋中顯示的return語(yǔ)句�����,導(dǎo)致函數(shù)短路���。
2-注釋掉:在這種漏洞利用技術(shù)中���,看起來(lái)是合法代碼的文本實(shí)際上存在于注釋中,因此永遠(yuǎn)不會(huì)執(zhí)行���。這允許對(duì)手向?qū)彶檎哒故疽恍┛雌饋?lái)正在執(zhí)行但從編譯器或解釋器的角度來(lái)看并不存在的代碼���。
3-擴(kuò)展字符串:此漏洞利用導(dǎo)致部分字符串文字在視覺(jué)上顯示為代碼?���?雌饋?lái)在字符串文字之外的文本實(shí)際上位于其中,并且具有與注釋掉相同的效果�,從而導(dǎo)致字符串比較失敗。
這些攻擊在 C����、C++���、C#、JavaScript��、Java�����、Rust�����、Go 和 Python 編程語(yǔ)言中成功實(shí)施概念驗(yàn)證攻擊��,并在Ubuntu上的gcc v7.5.0和MacOS上的Apple clang v12.0.5上成功驗(yàn)證了這些攻擊�����。
在上面的例子中���,研究人員展示了如何在C++中執(zhí)行同形文字攻擊��。他們使用了兩個(gè)看起來(lái)相似但實(shí)際上不同的 H��,藍(lán)色的拉丁語(yǔ)H和紅色的西里爾字母Н����。當(dāng)使用clang++編譯時(shí)�,該程序輸出文本“Goodbye, World!”研究人員表示。
通過(guò)這個(gè)例子可以看出����,“攻擊者可以在導(dǎo)入到目標(biāo)的全局命名空間的上游包中定義這樣的同形函數(shù),然后從受害者代碼中調(diào)用該函數(shù)�����?�!?/p>
加強(qiáng)防御
研究人員建議的最簡(jiǎn)單的防御策略是禁止在語(yǔ)言規(guī)范和實(shí)現(xiàn)這些語(yǔ)言的編譯器中使用文本方向控制字符�����。為了進(jìn)一步解釋該策略��,他們將其分為三個(gè)部分:
支持Unicode的編譯器��、解釋器和構(gòu)建管道需要對(duì)注釋或字符串字面量中的未終止雙向控制字符以及帶有混合腳本易混淆字符的標(biāo)識(shí)符顯示錯(cuò)誤或警告����。
語(yǔ)言規(guī)范應(yīng)該正式禁止在注釋和字符串字面量中使用未終止的雙向控制字符�����。
代碼編輯器和存儲(chǔ)庫(kù)前端應(yīng)該用視覺(jué)符號(hào)或警告使雙向控制字符和混合腳本易混淆字符具有可辨性��。
目前盡管有近20家軟件供應(yīng)商意識(shí)到了這一威脅�,但多個(gè)編譯器仍無(wú)法阻止Trojan Source攻擊方法�。由于許多維護(hù)者仍在實(shí)施補(bǔ)丁,這兩位研究人員建議政府和公司確定他們的供應(yīng)商�,并迫使他們采取必要的防御措施。
目前�,維護(hù)代碼存儲(chǔ)庫(kù)的三家公司目前正在部署針對(duì)特洛伊木馬源的防御措施。
目前開(kāi)源軟件呈現(xiàn)兩個(gè)特點(diǎn)�����,一個(gè)是量多另一個(gè)是成長(zhǎng)速度快��。在日常軟件開(kāi)發(fā)中更是離不開(kāi)開(kāi)源組件�,當(dāng)今軟件中超過(guò)90%的應(yīng)用程序包含來(lái)自第三方庫(kù)的代碼。而作為商業(yè)軟件供應(yīng)商需要滿足的關(guān)鍵要點(diǎn)�����,是確保軟件供應(yīng)鏈安全,保證源代碼安全性及完整性��,定期對(duì)應(yīng)用程序進(jìn)行安全測(cè)試和修復(fù)����,確保軟件源組件及開(kāi)源框架等來(lái)源安全可信�。
參讀鏈接:
www.bleepingcomputer.com/news/securi…
thehackernews.com/2021/11/new…
