Divulgados alguns meses atrás foram ataques "Trojan Source" contra compiladores onde o código especialmente criado pode ser desonesto, mas não parece devido à exploração de problemas de Unicode. Caracteres de controle Unicode podem ser usados para reordenar tokens no código-fonte que podem alterar o comportamento quando compilados. Com a próxima versão do compilador GCC 12, há um novo aviso para ajudar a apontar possíveis ataques de Trojan Source.
O GCC 12 está adicionando o sinalizador de aviso -Wbidi-chars para detectar ataques de Trojan Source envolvendo caracteres de controle Unicode. Há também um novo sinalizador ativado por padrão para diagnósticos do GCC para escapar de caracteres não ASCII para ajudar a indicar os problemas de caracteres de controle.
A nova opção -Wbidi-chars está pronta para o GCC 12, o lançamento que deve estrear como estável na forma de GCC 12.1 por volta de abril. David Malcolm, da Red Hat, que esteve envolvido neste tratamento de ataques Trojan Source por compiladores, escreveu uma postagem no blog do desenvolvedor da Red Hat na semana passada descrevendo este novo aviso de prevenção.
Nenhum comentário:
Postar um comentário