Nová zranitelnost Trojan Source napadá zdrojové kódy, které na pohled vypadají v pořádku, přeloží se však jinak. Mohou za to unicode znaky pro řízení toku textu (bidirectional, BiDi), které mohou zobrazený text přehodit CVE-2021–42574, případně použití unicode znaku, který však vypadá podobně, nebo stejně jako jiný znak. Například H a Н (ruské N). Takové znaky jsou nazývány homoglyfy a zranitelnost má označení CVE-2021–42694. RedHat vytvořil skript, který v repozitářích detekuje tyto problémy.
Nově GCC 12.1 dostane přepínač -Wbidi-chars, který bude varovat o znacích měnících tok textu. GCC 12.1 vyjde v dubnu. Zatím není jasné, jak varovat před použitím homoglyfů. Více detailů o zranitelnosti Trojan Source naleznete v článku.
(zdroj: phoronix)
ČLÁNKY DO MAILU