2021年11月初,剑桥大学发布了名为「Trojan-source」的研究。这项研究的重点是如何利用定向格式化字元(directional formatting characters)将後门隐藏在程式码与注解中,使程式码被恶意编码,而编辑器对这些程式码的逻辑判断解释与人工审查程式码的解读方式不同。
这是一个新的漏洞,尽管Unicode在过去曾被恶意使用,例如「reversing the direction of the last part of a filename」,意即反转文件档名的最後一部分,来隐藏该文件的真实名称。
最近的研究显示,许多编辑器会在没有警告的情况下,忽略程式码中的Unicode字元,而文本编辑器(包括程式编辑器)亦可能在这个基础上重新排列包含注解及程式码的顺序。因此,编辑器可能会以不同的方式显示程式码与注解,并以不同的顺序呈现编辑器如何解析它甚至将程式码与注释进行互换。
...
...
另一名雇主 |
限られたニュース |
文章閱讀限制 |
出版品優惠 |
一般使用者 |
10/ごとに 30 日間 |
0/ごとに 30 日間 |
付费下载 |
VIP会员 |
无限制 |
25/ごとに 30 日間 |
付费下载 |