影响众多编程语言、引发供应链袭击,剑桥大学发布「木马源」缝隙

最近,剑桥大学的研讨者公布了一种名为 Trojan-Source 缝隙,可能危及软件和第一手供应链。

影响众多编程语言、引发供应链袭击,剑桥大学发布「木马源」缝隙

缝隙与袭击无处不在。最近,剑桥大学的两位研讨职员发现了一个可以影响计算机代码编译器和软件开发环境的缝隙——Trojan Source(木马源) 。该缝隙几乎影响所有计算机语言,包括对 C、C++、C#、JavaScript、Java、Rust、Go 和 Python 。此外,恶意代码可以将 Trojan Source 用于供应链袭击。影响众多编程语言、引发供应链袭击,剑桥大学发布「木马源」缝隙

论文地址:https://trojansource.codes/trojan-source.pdf

GitHub 地址:https://github.com/nickboucher/trojan-source

Trojan Source 袭击方法利用的是字符编码标准 Unicode ,有以下两种袭击体例:

第一种是通过 Unicode 的 Bidi 算法(CVE-2021-42574),该算法处理从左到右(如英语)和从右到左(如阿拉伯语和希伯来语)底本显现次序。该缝隙容许对字符进行视觉上的重新排序,使其呈现与编译器和解释器所不同的逻辑次序;

第二种是同源袭击 (CVE-2021-42694),两个不同的字符具有相似的视觉表明,例如拉丁语 H 和西里尔字母Н。

研讨职员表明如果袭击者通过逃过人类审阅成功地将目标缝隙提交到开源代码中,下游软件可能会继承该缝隙。在 GitHub 上的存储库中,他们提供了概念验证 (PoC) 底本。Trojan-Source 袭击字符重新排序体例Unicode 标准规定,内存表明次序称为逻辑次序,当文本在一行的时候,大多数底本从左往右显现字符(例如英语)。然而,也有一些底本(如阿拉伯语或希伯来语)显现文本的自然次序是从右往左。当混合具有不同显现次序的底本时,必须有一种确定性的方法来解决方向冲突。对于 Unicode 来说,双向或 Bidi 算法可以实现。某些场景下,Bidi 算法设置的默认排序可能不够。对于这些情况,Bidi 算法提供揭开控制字符(override control characters)。Bidi 算法揭开是不可见的字符,从而可以切换字符组的显现次序。例如,考虑以下 Unicode 字符序列:RLI a b c PDI,那么将显现为:c b a。下表 I 提供了与此袭击相关的控制符列表:影响众多编程语言、引发供应链袭击,剑桥大学发布「木马源」缝隙隔离重新排序体例在 Bidi 规范中,隔离(isolates)是被视为单个实体的字符组;也就是说,当显现次序被重写时,整个一组字符将作为单个块移动,隔离可以嵌套。假设 Unicode 字符为:RLI LRI 4 5 6 PDI LRI 1 2 3 PDI PDI,那么将显现为:1 2 3 4 5 6。相互嵌入多层 LRI 和 RLI,可以近乎任务地重新排序字符串。那么袭击者就可以将杂乱的字符,经过这种体例,将自己想要的功能插入到当前的开源项目中,让用户下载后执行,从而在不知情的情况下来执行缝隙代码。语法依从性大多数设计良好的编程语言不容许在源代码中使用任务控制字符,因为它们被视为影响逻辑的 token。因此,在源代码中随机放置 Bidi 揭开字符通常会导致编译器或解释器语法错误。为了避免这种错误,我们可以利用编程语言的以下两个原则:

正文:大多数编程语言都容许编译器和解释器忽略所有文本(包括控制符)正文;

字符串:许多编程语言容许字符串可以包含任务字符,同理也包括控制符。

虽然正文和字符串都具有指示其开始和结束的特定于语法的语义,但 Bidi 揭开不遵守这些界限。因此,通过将 Bidi 揭开字符专门放置在正文和字符串中,我们能够以大多数编译器可接受的体例将它们注入到源代码中。示例展示如下图所示,通过任务控制符改变了代码逻辑。下列代码中的 if 条件没有执行,而是被放置在正文部分,程序显现效果起到了欺骗用户的作用。影响众多编程语言、引发供应链袭击,剑桥大学发布「木马源」缝隙研讨职员还展示了如何在 C++ 中执行同源文字袭击。他们使用了两个看起来相似但实际上不同的 H,蓝色的拉丁语 H 和红色的西里尔字母Н。当进行编译时,该程序输出文本「Goodbye, World!」。影响众多编程语言、引发供应链袭击,剑桥大学发布「木马源」缝隙加强防御这样的袭击可能很难检测,因为经过渲染的源代码看起来非常完美。如果逻辑上的变化足够微小,以至于后续测试中未被发现,那么袭击者可能会在不被发现的情况下引入有针对性的缝隙。同样令人担忧的是,Bidi 揭开字符通过复制、粘贴操作,仍然存在于浏览器、编辑器和操作系统上。「开发者将代码从不受信任的来源复制到受保护的代码库中,这种做法可能无意中引入了一个不可见缝隙,」剑桥大学计算机安全教授、该研讨的合著者 Anderson 表明。「这种代码复制是现实世界安全缝隙的重要来源。」约翰霍普金斯信息安全研讨所的副教授 Matthew Green 表明,「剑桥研讨清楚地表明,大多数编译器都可以被 Unicode 欺骗,以不同于研讨者预期的体例处理代码。」好消息是,研讨职员进行了广泛的缝隙扫描,还没有人利用这一缝隙。坏消息是目前还没有防御措施,将来可能会有人利用该缝隙进行一些破坏。Green 表明:希望编译器和代码编辑器开发职员能够快速修补这个缝隙!但由于有些人不定期更新他们的开发工具,至少在一段时间内会有一些风险。影响众多编程语言、引发供应链袭击,剑桥大学发布「木马源」缝隙图源:XKCD.com/2347/加州大学伯克利分校计算机科学系的讲师 Nicholas Weaver 表明,剑桥提出了一组非常简单、优雅的袭击,可能会使供应链袭击变得更加严重。人类已经很难从源代码中区分「this is OK、this is evil」,Weaver 表明。对于这种袭击,你可以使用改变方向来改变正文和字符串的呈现体例,例如「This is okay」只是一种呈现形式,但「This is」okay 才是它在代码中的存在体例。幸运的是,它有一个非常容易扫描的标记,因此编译器在将来遇到它时可以「检测」它。研讨职员表明,软件公司在最初表露期间,提供了 99 天的禁锢期,以容许通过软件更新修复受影响的产品。研讨职员写道:「我们收到了各种各样的回应,包括修补承诺、Bug 赏金计划、快速驳回等。在我们与之合作的 19 家软件供应商中,有 7 家使用外包平台接收缝隙表露,6 家拥有专门的缝隙表露门户网站,4 家通过 PGP 加密电子邮件接受表露,另外两家仅通过非 PGP 电子邮件接受表露。他们都确认收到了我们的表露,最终 9 家承诺发布补丁。」此外,还有 11 家接受者有 Bug 赏金计划,为缝隙表露提供报酬。但研讨职员报告说,只有 5 家支付赏金,平均支付 2,246 美元。

影响众多编程语言、引发供应链袭击,剑桥大学发布「木马源」缝隙

Anderson 表明,「到目前为止大约有一半的组织已经承诺提供补丁,而其他组织还在拖延。我们将接下来将监控他们的部署,还希望 GitHub、Gitlab 、 Atlassian 采取行动。」参考链接:https://krebsonsecurity.com/2021/11/trojan-source-bug-threatens-the-security-of-all-code/http://cn-sec.com/archives/609155.htmlhttp://cn-sec.com/archives/609155.html

原创文章,作者:机器之心,如若转载,请注明出处:https://www.iaiol.com/news/ying-xiang-zhong-duo-bian-cheng-yu-yan-yin-fa-gong-ying/

(0)
上一篇 2021年 11月 23日 下午2:20
下一篇 2021年 11月 24日 下午2:31

相关推荐

  • 10位大咖云聚,400分钟干货分享,这里有一场AI 家产发展趋向分享会等你来看!

    从 2015 年的 Alpha Go 人机大战,人工智能热潮如平地惊雷,光芒尽显。到 2020 年的突发疫情,倒逼家产智能突围,带来数字时代转型升级的加速发展。风起于青萍之末,浪成于微澜之间,从 2015 年到 2020 年,AI 家产趋向变化的草蛇灰线逐渐显现。在不平凡的 2020 年,意外和契机相伴而至,稳健与突破竞相呈现。站在 2020 的尾巴上,伴随着对过去的梳理和对未知的期待,我们需要重振激情,用全方位的知识储备把握未来 AI 家产趋向的走向和发展。新春将至,在即将到来的牛年里,作为一个 AI 人下面一年

    2021年 1月 29日
  • 学术顶会再突破!较量争论平台MaxCompute论文入选国际顶会VLDB 2021

    一、顶会概览 VLDB 2021上,阿里云较量争论平台MaxCompute参与的论文入选,核心分布式调度履行引擎Fangorn、基于TVR Cost模型的通用增量较量争论优化器框架Tempura等分别被Industry Track、Research Track录取。 作为数据管理与数据库领域三大顶级学术会议之一,VLDB每年都吸引了各大高校、科研机构与科技公司的论文投稿,许多重要技术成果都在VLDB上中选发布。 多篇研究成果的发布离不开25位较量争论平台传教师和达摩院传教师花费大量时间撰写和修改,

    2021年 9月 29日
  • 科研产业即将迎来AI赋能拐点

    「机器之心2021-2022年度AI趋势大咖说」聚焦「驱动未来的AI技术」与「重塑产业的AI科技」,推出线上分享,共邀请近40位AI领域知名学者、产业专家及企业高管通过主题分享及多人圆桌等形式,与行业精英、读者、观众共同回顾 2021年中的重要技术和学术热点,盘点AI产业的年度研究方向以及重大科技突破,展望2022年度AI技术发展方向、AI技术与产业科技融合趋势。

    2022年 7月 22日
  • 欧洲投资银行供应1.5亿欧元反对欧洲人工智能企业

    欧洲投资银行团体(EIB Group)启动了一项高达1.5亿欧元的新的融资东西,反对人工智能及与人工智能直接相干/互补的区块链、物联网和机器人技能。与新的融资东西相干的资金反对将在将来四年内布置,供应给欧盟和Horizon 2020相干国家与地区,重点投资开发突破性人工智能应用的晚期和成长阶段的公司。这项东西是EIB团体和欧盟委员会更大计划的一部分,旨在反对高性能计算、量子技能和网络安全等规模的欧洲数字将来倒退。12月3日,在2020年Web峰会上,欧洲投资银行团体(EIB Group)启动了一项新的融资东西,以支

    2020年 12月 9日
  • CVPR 2021 | 革新奇智首次提出零样本实例联系,助力解决工业场景数据瓶颈难题

    对于数据发现、数据粗筛、辅助标注、模型基本能力探索等方面有巨大的提升。

    2021年 3月 31日
  • 中原基金与澜舟科技成立金融NLP联合实验室,共促金融科技立异

    近日,境内头部基金公司中原基金与NLP/AI范畴领先者北京澜舟科技签署战略协作协议,成立金融NLP(自然语言处置惩罚)联合实验室,协作探索自然语言处置惩罚技巧在金融范畴的使用;协作建立鉴于中原基金投资研究逻辑的舆情NLP本领;协作打造鉴于深度学习和预训练模型的金融行业搜索引擎,同时计划在其他数字化建立、立异技巧协作、交易使用等方面展开协作。中原基金首席数据官陈一昕,澜舟科技创始人兼首席执行官周明博士分别代表双方在北京签约。中原基金首席数据官陈一昕表示,科技立异是发展数字经济的核心源动力。金融行业如何促进科技与金融交易场景的

    2022年 6月 6日
  • 站在2022前展望大模型的未来,周志华、唐杰、杨红霞这些大咖怎么看?

    岁末年初之际,让我们回顾大模型的过去,展望大模型的未来。

    2021年 12月 29日
  • CVPR2022 | 利用域自符合思想,北大、字节跳动提出新型弱监视物体定位框架

    将弱监视物体定位看作图象与像素特性域间的域自符合任务,北大、字节跳动提出新框架显著增强基于图象级标签的弱监视图象定位功能

    2022年 3月 20日
  • google并未放弃TensorFlow,将于2023年发布新版,明确四大支柱

    2015 年,google大脑开放了一个名为「TensorFlow」的钻研项目,这款产品迅速流行起来,成为人工智能业界的主流深度进修框架,塑造了现代呆板进修的生态系统。从那时起,成千上万的开源贡献者以及众多的开发人员、社区组织者、钻研人员和教育工作者等都投入到这一开源软件库上。然而七年后的今天,故事的走向已经完全不同:google的 TensorFlow 失去了开发者的拥护。因为 TensorFlow 用户已经开始转向 Meta 推出的另一款框架 PyTorch。众多开发者都认为 TensorFlow 已经输掉了这场战争,并将其比

    2022年 10月 24日

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注