טראָדזשאַן מקור באַפאַלן צו באַקענען ענדערונגען צו די קאָד וואָס זענען ומזעיק צו די דעוועלאָפּער

רעסעאַרטשערס פון אוניווערסיטעט פון קיימברידזש האָבן ארויס אַ טעכניק פֿאַר בישטיקע ינסערטינג בייזע קאָד אין פּייר-ריוויוד מקור קאָד. דער צוגעגרייט אַטאַק אופֿן (CVE-2021-42574) איז דערלאנגט אונטער די נאָמען Trojan Source און איז באזירט אויף די פאָרמירונג פון טעקסט וואָס קוקט אַנדערש פֿאַר די קאַמפּיילער / ינטערפּריטער און דער מענטש וויוינג די קאָד. ביישפילן פון דעם אופֿן זענען דעמאַנסטרייטיד פֿאַר פאַרשידן קאַמפּיילערז און ינטערפּראַטערז סאַפּלייד פֿאַר C, C ++ (גקק און קלאַנג), C #, דזשאַוואַסקריפּט (Node.js), Java (OpenJDK 16), Rust, Go און Python.

דער אופֿן איז באזירט אויף די נוצן פון ספּעציעל אוניקאָד אותיות אין קאָד באַמערקונגען וואָס טוישן די אַרויסווייַזן סדר פון ביידירעקטיאָנאַל טעקסט. מיט די הילף פון אַזאַ קאָנטראָל אותיות, עטלעכע טיילן פון דעם טעקסט קענען זיין געוויזן פון לינקס צו רעכט, בשעת אנדערע - פון רעכט צו לינקס. אין וואָכעדיק פיר, אַזאַ קאָנטראָל אותיות קענען ווערן געניצט, למשל, צו אַרייַנלייגן קאָד שורות אין העברעיש אָדער אַראַביש אין אַ טעקע. אבער אויב איר פאַרבינדן שורות מיט פאַרשידענע טעקסט אינסטרוקציעס אין איין שורה, ניצן די ספּעסיפיעד אותיות, פּאַסידזשיז פון טעקסט געוויזן פון רעכט צו לינקס קענען אָוווערלאַפּ יגזיסטינג רעגולער טעקסט געוויזן פון לינקס צו רעכט.

מיט דעם אופֿן, איר קענען לייגן אַ בייזע קאַנסטראַקט צו די קאָד, אָבער מאַכן דעם טעקסט מיט דעם קאַנסטראַקט ומזעיק ווען איר זען דעם קאָד, דורך אַדינג אין די פאלגענדע באַמערקונג אָדער אין די ליטעראַל אותיות געוויזן פֿון רעכט צו לינקס, וואָס וועט פירן צו גאָר. פאַרשידענע אותיות זענען סופּעראַמפּאָוזד אויף די בייזע ינסערשאַן. אַזאַ קאָד וועט בלייַבן סעמאַנטיקאַללי ריכטיק, אָבער וועט זיין ינטערפּראַטאַד און געוויזן דיפערענטלי.

בשעת ריוויוינג קאָד, אַ דעוועלאָפּער וועט זיין קאָנפראָנטעד מיט די וויזשאַוואַל סדר פון די אותיות און וועט זען אַ ניט-סאַספּישאַס באַמערקונג אין אַ מאָדערן טעקסט רעדאַקטאָר, וועב צובינד אָדער IDE, אָבער די קאַמפּיילער און יבערזעצער וועט נוצן די לאַדזשיקאַל סדר פון די אותיות און וועט פּראָצעס די בייזע ינסערשאַן ווי איז, אָן פּייינג ופמערקזאַמקייַט צו די ביידירעקטיאָנאַל טעקסט אין די באַמערקונגען. די פּראָבלעם אַפעקץ פאַרשידן פאָלקס קאָד רעדאקציע (VS Code, Emacs, Atom), ווי געזונט ווי ינטערפייסיז פֿאַר וויוינג קאָד אין ריפּאַזאַטאָריז (GitHub, Gitlab, BitBucket און אַלע Atlassian פּראָדוקטן).

עס זענען עטלעכע וועגן צו נוצן דעם אופֿן צו ינסטרומענט בייזע אַקשאַנז: אַדינג אַ פאַרבאָרגן "צוריקקומען" אויסדרוק, וואָס פירט צו די קאַמפּלישאַן פון די פונקציע פאָרויס פון צייַט; קאַמענטינג אויס אויסדרוקן וואָס וואָלט נאָרמאַלי זיין קענטיק ווי גילטיק קאַנסטראַקשאַנז (למשל, צו דיסייבאַל וויכטיק טשעקס); אַסיינינג אנדערע שטריקל וואַלועס וואָס פירן צו שטריקל וואַלאַדיישאַן פייליערז.

פֿאַר בייַשפּיל, אַ אַטאַקער קען פאָרשלאָגן אַ ענדערונג וואָס כולל די שורה: אויב אַקסעס_לעוועל != "באַניצער{U+202E} {U+2066}// קוק אויב אַדמין{U+2069} {U+2066}" {

וואָס וועט זיין געוויזן אין די אָפּשאַצונג צובינד ווי אויב אַקסעס_לעוועל != "באַניצער" { // קוק אויב אַדמין

אין דערצו, אן אנדער באַפאַלן וואַריאַנט איז פארגעלייגט (CVE-2021-42694), פֿאַרבונדן מיט די נוצן פון האָמאָגליפס, אותיות וואָס זענען ענלעך אין אויסזען, אָבער אַנדערש אין טייַטש און האָבן פאַרשידענע אוניקאָד קאָודז (למשל, דער כאַראַקטער "ɑ" ריזעמבאַלז " אַ, "ɡ" - "ג", "ɩ" - "ל"). ענלעכע אותיות קענען זיין געוויינט אין עטלעכע שפּראַכן אין די נעמען פון פאַנגקשאַנז און וועריאַבאַלז צו פאַרפירן דעוועלאָפּערס. פֿאַר בייַשפּיל, צוויי פאַנגקשאַנז מיט ינדיסטינגגווישאַבאַל נעמען קענען זיין דיפיינד וואָס דורכפירן פאַרשידענע אַקשאַנז. אָן אַ דיטיילד אַנאַליסיס, עס איז נישט מיד קלאָר וואָס פון די צוויי פאַנגקשאַנז איז גערופן אין אַ ספּעציפיש אָרט.

ווי אַ זיכערהייט מאָס, עס איז רעקאַמענדיד אַז קאָמפּילערס, ינטערפּראַטערז און פֿאַרזאַמלונג מכשירים וואָס שטיצן אוניקאָד אותיות ווייַזן אַ טעות אָדער ווארענונג אויב עס זענען אַנפּערד קאָנטראָל אותיות אין באַמערקונגען, ליטעראַל ליטעראַלז אָדער ידענטיפיערס וואָס טוישן די ריכטונג פון רעזולטאַט (U+202A, U+202B, U+202C, U+202D, U+202E, U+2066, U+2067, U+2068, U+2069, U+061C, U+200E און U+200F). אַזאַ אותיות זאָל אויך זיין בפירוש פּראָוכיבאַטאַד אין פּראָגראַממינג שפּראַך ספּעסאַפאַקיישאַנז און זאָל זיין רעספּעקטעד אין קאָד רעדאקציע און ריפּאַזאַטאָרי ינטערפייסיז.

אַדענדום 1: וואַלנעראַביליטי פּאַטשאַז זענען צוגעגרייט פֿאַר GCC, LLVM / Clang, Rust, Go, Python און בינוטילס. GitHub, Bitbucket און Jira אויך פאַרפעסטיקט דעם אַרויסגעבן. א פאַרריכטן פֿאַר GitLab איז אין פּראָגרעס. צו ידענטיפיצירן פּראָבלעמאַטיק קאָד, עס איז סאַגדזשעסטיד צו נוצן די באַפֿעל: grep -r $'[\u061C\u200E\u200A\u202A\u202B\u202C\u202D\u202E\u2066\u2067\u2068\u2069\uXNUMX/' מקור

Addendum 2: Russ Cox, איינער פון די דעוועלאָפּערס פון די Plan 9 OS און די Go פּראָגראַממינג שפּראַך, קריטיקירט די יבעריק ופמערקזאַמקייט צו די דיסקרייבד אַטאַק מעטאָד, וואָס איז לאַנג באַוווסט (Go, Rust, C ++, Ruby) און איז נישט גענומען עמעס. . לויט Cox, די פּראָבלעם דער הויפּט קאַנסערנז די ריכטיק אַרויסווייַזן פון אינפֿאָרמאַציע אין קאָד רעדאקציע און וועב ינטערפייסיז, וואָס קענען זיין סאַלווד דורך ניצן די ריכטיק מכשירים און קאָד אַנאַליזערז בעשאַס אָפּשאַצונג. דעריבער, אַנשטאָט פון ופמערקזאַמקייט צו ספּעקולאַטיווע אנפאלן, עס וואָלט זיין מער צונעמען צו פאָקוס אויף ימפּרוווינג קאָד און דעפּענדענסי רעצענזיע פּראַסעסאַז.

Ras Cox גלויבט אויך אַז קאַמפּיילערז זענען נישט די רעכט אָרט צו פאַרריכטן דעם פּראָבלעם, ווייַל דורך פאַרבאָט געפערלעך סימבאָלס אויף די קאַמפּיילער מדרגה, עס בלייבט אַ ריזיק פּלאַסט פון מכשירים אין וואָס די נוצן פון די סימבאָלס איז פּאַסיק, אַזאַ ווי בויען סיסטעמען, אַסעמבאַלערז, פּעקל מאַנאַדזשערז און פאַרשידן קאַנפיגיעריישאַן פּאַרסערז און דאַטן. ווי אַ ביישפּיל, די רוסט פּרויעקט איז געגעבן, וואָס פּראָוכיבאַטאַד די פּראַסעסינג פון LTR / RTL קאָד אין די קאַמפּיילער, אָבער האט נישט לייגן אַ פאַרריכטן צו די קאַרגאָ פּעקל פאַרוואַלטער, וואָס אַלאַוז אַ ענלעך באַפאַלן דורך די Cargo.toml טעקע. סימילאַרלי, טעקעס אַזאַ ווי BUILD.bazel, CMakefile, Cargo.toml, Dockerfile, GNUmakefile, Makefile, go.mod, package.json, pom.xml און רעקווירעמענץ.טקסט קענען ווערן קוואלן פון אנפאלן.

מקור: opennet.ru