Atualmente, circulam os ataques de "Fonte de Trojan", nos quais o texto exibido para o usuário final / desenvolvedor não corresponde ao que está realmente sendo executado. O problema decorre de padrões Unicode e pode levar a códigos maliciosos sendo introduzidos inadvertidamente em bases de código upstream que podem ser negligenciados durante processos de revisão de código, etc. GCC e LLVM / Clang estão entre os primeiros compiladores que prepararam defesas contra ataques do estilo de fonte de Trojan.
Esta classe de vulnerabilidades "invisíveis" que podem se infiltrar em bases de código por meio de problemas de Unicode é explicada em detalhes em trojansource.codes. Basicamente, ele se origina de caracteres de controle Unciode sendo usados de forma maliciosa para reordenar tokens no código-fonte no nível de codificação que levam a um comportamento diferente entre o que é exibido e o que é executado pelo compilador ou intérpretes.
O Trojan Source vem de uma pesquisa da Universidade de Cambridge. A prevenção de tais ataques requer atualizações para codificar compiladores e interpretadores contra caracteres bidirecionais Unicode possivelmente enganosos. Marek Polacek, da Red Hat, postou ontem um patch preliminar para ajudar a evitar o Trojan Source. Com a opção -Wbidirectional = proposta, o GCC poderia alertar os desenvolvedores sobre caracteres bidirecionais Unicode possivelmente enganosos encontrados pelo pré-processador.
Da mesma forma, os patches do LLVM para o tratamento semelhante também estão pendentes.
Até a próxima !!
Nenhum comentário:
Postar um comentário