Internet
Le bogue « Trojan Source » est une nouvelle façon d’attaquer les encodages de programmes
Crédit : CC0 Domaine public
Deux experts en sécurité de TrojanSource ont trouvé un nouveau moyen d’attaquer le code source de l’ordinateur, un moyen qui trompe un compilateur (et un examinateur humain) en lui faisant croire que le code est sûr. Nicholas Boucher et Ross Anderson, tous deux de l’Université de Cambridge, ont publié un article sur la page Web TrojanSource détaillant la vulnérabilité et les moyens de la corriger.
Comme Boucher et Anderson le décrivent, la vulnérabilité implique des attaques contradictoires commises par des types néfastes utilisant des caractères de contrôle Unicode pour réorganiser les caractères dans le code source qui semblent légitimes aux programmeurs. Plus précisément, la vulnérabilité implique l’utilisation d’un algorithme « Bidi », en Unicode (une norme de codage internationale pouvant être utilisée dans différentes langues) où les caractères peuvent être placés à la fois de gauche à droite et de droite à gauche, car certaines langues, telles que L’hébreu et l’arabe s’écrivent et se lisent de droite à gauche.
La vulnérabilité existe car les algorithmes qui traitent un tel code ne prennent pas en considération le fait que certains des caractères qui sont lus de gauche à droite peuvent avoir une signification ou un objectif différent s’ils sont lus de droite à gauche. Parce que pratiquement tous les langages de programmation les plus populaires utilisés aujourd’hui (C, C+, Java, Python, Go, Rust et JavaScript) autorisent Unicode, cela signifie que pratiquement tous les programmes sont potentiellement à risque.
A titre d’exemple, Boucher et Anderson montrent qu’une ligne de code telle que :
/* commencer uniquement les administrateurs */ if (isAdmin) {
Peut être changé en :
/* if (isAdmin) { commencer uniquement les administrateurs */
La première ligne est un commentaire inoffensif inséré par un programmeur, la seconde est un code qui pourrait être utilisé pour obtenir le résultat souhaité par un pirate informatique. Les chercheurs suggèrent que la vulnérabilité représente une menace sérieuse pour les chaînes d’approvisionnement logicielles. Si de telles vulnérabilités étaient exploitées, elles pourraient avoir un impact sur les logiciels en aval en leur permettant d’hériter de la même vulnérabilité.
Parce que la vulnérabilité existe pour une si grande variété de langages de programmation, sa divulgation a d’abord été coordonnée avec les responsables chargés de maintenir les règles de ces langages, leur donnant le temps d’ajouter des modifications aux compilateurs et aux interprètes pour prendre en compte et atténuer une telle menace.
Vulnérabilité trouvée dans la liseuse Kindle
Rapport : www.trojansource.codes/trojan-source.pdf
TrojanSource : www.trojansource.codes/
© 2021 Réseau Science X
Citation: Le bogue ‘Trojan Source’ une nouvelle façon d’attaquer les encodages de programmes (2021, 3 novembre) récupéré le 3 novembre 2021 à partir de https://techxplore.com/news/2021-11-trojan-source-bug-encodings.html
Ce document est soumis au droit d’auteur. En dehors de toute utilisation équitable à des fins d’étude ou de recherche privée, aucune partie ne peut être reproduite sans l’autorisation écrite. Le contenu est fourni seulement pour information.
Sommaire
Les offres de produits Hi-tech en rapport avec cet article
Autres articles en relation:
Ce bogue de téléphone a laissé les pirates informatiques propager des programmes malveillants sur des téléphones Android situés à proximité
Nouvelle détection de malware pour Android au niveau du code source
Un autre correctif Log4j élimine un nouveau bogue d’exécution de code à distance
Android 12 apportera une toute nouvelle façon de contrôler votre téléphone
Google rend le scanner de vulnérabilité aux tsunamis open source
Le code source de Windows XP aurait été découvert en ligne
Microsoft corrige un bogue majeur de Windows 10
Cette correction de bogue Linux mineur a créé un problème beaucoup plus grave
Les startups et la GMAO
Comment choisir son patch anti-ondes ?
