社区编辑申请
注册/登录
安全研究人员发出警告:谨防易被人工审核忽略的木马漏洞源码
安全 漏洞
Light Blue Touchpaper 今日分享了一份标题为《木马源码:隐形漏洞》的文章,其中提到了一些“酷炫”的新技巧,以充分利用难以被人类代码审核人员当场抓获的目标漏洞。

Light Blue Touchpaper 今日分享了一份标题为《木马源码:隐形漏洞》的文章,其中提到了一些“酷炫”的新技巧,以充分利用难以被人类代码审核人员当场抓获的目标漏洞。据悉,想要将漏洞引入某款软件,制作者可尝试在一段晦涩的代码片段中插入一个不显眼的“错误”。那样即使操作系统等关键开源项目制定了严格的人工审核流程,但邪恶的代码还是很容易被漏过。

(来自:Light Blue Touchpaper | PDF)

Ross Anderson写道:“我们发现了操纵源代码文件编码的新方法,特点是让人类审核员和编译器看到不同的执行逻辑”。

据悉,这种特别的有害方法利用了 Unicode 的方向覆盖字符,以将真实代码隐匿于字符迷藏之下。

研究人员已证实,这种攻击已波及 C、C++、C#、JavaScript、Java、Rust、Go、以及 Python 等变成语言,并且有望扩大覆盖其它现代语言。

除了编号为 CVE-2021-42574的通用漏洞披露报告,MITRE 还指出了可利用“同形文字”(视觉上相似的字符)的CVE-2021-42694攻击方法。

为了给漏洞修复腾出时间,安全研究人员特地拖了 99 天才正式披露。目前许多编译器、解释器、代码编辑器、以及存储库,都已经落实了专门的防御手段。

Ross Anderson 补充道,这项攻击的灵感,源于其近期在“不可查觉的扰动”等方面的最新工作。

其使用方向性覆盖、同形文字、以及其它 Unicode 功能,实现了用于有毒内容过滤、机器翻译和其它自然语言处理(NLP)等任务,且基于文本的机器学习系统。

感兴趣的朋友,可移步至 trojansource.codes 项目门户,查看有关“木马源码”(Trojan Source)攻击的更多细节、或在 GitHub上查看概念验证。

 

责任编辑:赵宁宁 来源: 今日头条
相关推荐

2022-06-15 08:25:07

Python天气数据可视化分析

2022-06-07 10:09:42

新技术人工智能5G

2022-06-20 13:34:46

漏洞网络攻击

2022-06-29 09:19:09

静态代码C语言c代码

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-10 07:45:09

CentOS国产操作系统

2022-06-07 09:59:21

网络安全安全漏洞

2022-06-20 14:57:50

漏洞安全威胁

2022-06-09 18:04:46

网络攻击网络安全

2022-06-28 12:14:02

DockerLinux

2022-06-07 11:16:51

云原生人工智能运维

2022-06-28 05:35:46

勒索软件网络安全网络攻击

2022-06-24 10:52:47

人工智能作业帮T前线

2022-06-06 14:32:36

2022-06-24 10:16:59

Python精选库

2022-06-17 11:24:52

2022-06-07 11:01:56

人工智能AI技术大会

2022-05-24 15:22:09

网络安全企业风险

2022-06-20 09:01:20

半导体芯片

2022-06-15 14:40:54

英特尔漏洞

同话题下的热门内容

Black Lotus警告异常复杂的ZuoRAT恶意软件已盯上大量路由器高危漏洞并不意味着要最先修复

编辑推荐

Log4j史诗级漏洞,从原理到实战,只用3个实例就搞明白!漏洞情报 | Spring RCE 0day高危漏洞预警Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响二维码新漏洞出现,遇到此类二维码小心中招
我收藏的内容
点赞
收藏

51CTO技术栈公众号