小心易被人工审核忽略的木马漏洞源码
发布时间:2022-06-09 12:13:42 所属栏目:安全 来源:互联网
导读:LightBlueTouchpaper分享了一份标题为《木马源码:隐形漏洞》的文章,提到了一些酷炫的新技巧,以充分利用难以被人类代码审核人员当场抓获的目标漏洞。据悉,想要将漏洞引入某款软件,制作者可尝试在一段晦涩的代码片段中插入一个不显眼的错误。那样即使操作
|
Light Blue Touchpaper分享了一份标题为《木马源码:隐形漏洞》的文章,提到了一些“酷炫”的新技巧,以充分利用难以被人类代码审核人员当场抓获的目标漏洞。据悉,想要将漏洞引入某款软件,制作者可尝试在一段晦涩的代码片段中插入一个不显眼的“错误”。那样即使操作系统等关键开源项目制定了严格的人工审核流程,但邪恶的代码还是很容易被漏过。 Ross Anderson写道:“我们发现了操纵源代码文件编码的新方法,特点是让人类审核员和编译器看到不同的执行逻辑”。据悉,这种特别的有害方法利用了Unicode的方向覆盖字符,以将真实代码隐匿于字符迷藏之下。研究人员已证实,这种攻击已波及 C、C++、C#、JavaScript、Java、Rust、Go、以及 Python等变成语言,并且有望扩大覆盖其它现代语言。 除了编号为CVE-2021-42574的通用漏洞披露报告,MITRE还指出了可利用“同形文字”(视觉上相似的字符)的CVE-2021-42694攻击方法。 为了给漏洞修复腾出时间,安全研究人员特地拖了99天才正式披露。目前许多编译器、解释器、代码编辑器、以及存储库,都已经落实了专门的防御手段。 (编辑:我爱制作网_潮州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330565号