警惕!易躲藏的“木马源”代码漏洞正在向企业供应链发起攻击-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!

QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > 警惕!易躲藏的“木马源”代码漏洞正在向企业供应链发起攻击

警惕!易躲藏的“木马源”代码漏洞正在向企业供应链发起攻击

小墨安全管家 2021-11-04 12:04 CC防护 89 ℃
DDoS防御

木马源漏洞和攻击模式

Anderson和他的同事Nicholas Boucher(博士生)揭示了两种攻击模式,防DDoS,统称为特洛伊源攻击。

他们向各种组织和公司披露了他们的发觉(在禁令下),这些组织和公司能够建立这些谨防。

另一具相关的攻击依靠于使用视觉上相似的字符,称为同形符,跟踪为CVE-2021-42694号。

漏洞涉及到两个CVE,这两个CVE基本上依照Unicode规范公布的。研究人员称之为对Unicode的“潜在破坏性”攻击双向算法(BiDi),从14.0版开始跟踪为CVE-2021-42574。BiDi处理文本的显示顺序,例如,使用拉丁字母从左到右,或者从右到左使用阿拉伯语或希伯来语字符。

解决措施

研究人员已证实,这种攻击已波及 C、C++、C#、JavaScript、Java、Rust、Go、以及 Python 等编程语言,同时有望扩大覆盖其它现代语言。

“我们以为,那个咨询题的长期解决方案将部署在编译器中。我们注意到,几乎所有的编译器都基本防范了一种相关的攻击,这种攻击涉及使用零宽度字符创建对抗性函数名,而有三种编译器会对另一种生成错误,这就利用了函数名中的同形符号,CC防御,”他们分享道。

更多的技术细节能够在他们的论文中找到。

警惕!易隐藏的“木马源”代码漏洞正在向企业供应链发起攻击

他们还提出了一些谨防措施,这些措施应该在编译器、解释器和支持Unicode的构建管道中实现;语言规范;以及代码(文本)编辑器和存储库前端。

目前,基本实施修复并在其供应链中举行检测的组织包括Rust团队、GitHub、RedHat和Atlassian(多个产品受到阻碍)。

两名来自剑桥大学的研究人员Nicholas Boucher与Ross Anderson,在本周揭露了一具藏匿在统一码(Unicode)中的安全漏洞,此一编号为CVE-2021-42574的漏洞,将阻碍所有支援Unicode的程式语言,目前已确定受到波及的涵盖了C、C++、C#、JavaScript、Java、Rust、Go与Python等,猜测大概也有其它受害的语言。该漏洞将允许骇客于开源码中、注入人类程式码审查员看不见的安全漏洞,因而被研究人员称为木马源(Trojan Source)攻击。

“我们在公开期间联系的编译器维护者中,大约有一半正在开辟补丁,或者基本同意要那样做。当其他人在拖后腿时,在这段时刻内部署其他操纵是明智的,因为这是快速和便宜的,防DDoS,也是很必要的。三家维护代码库的公司也部署了谨防措施。我们建议依靠关键软件的政府和公司应该确定其供应商的立场,对他们施加压力,要求他们实施充分的谨防,并确保任何漏洞都被他们工具链上的其他操纵覆盖。”

警惕!易隐藏的“木马源”代码漏洞正在向企业供应链发起攻击

警惕!易隐藏的“木马源”代码漏洞正在向企业供应链发起攻击

为了给漏洞修复腾出时刻,安全研究人员特地拖了99天才正式披露相关漏洞信息。与此并且,研究人员基本与19个组织举行了协调,其中很多组织如今正在公布更新,以解决代码编译器、解释器、代码编辑器和存储库中的安全弱点。

DDoS防御


DDoS防御

当前位置:主页 > CC防护 > 警惕!易躲藏的“木马源”代码漏洞正在向企业供应链发起攻击

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119