2021年11月初,劍橋大學發佈了名為「Trojan-source」的研究。這項研究的重點是如何利用定向格式化字元(directional formatting characters)將後門隱藏在程式碼與註解中,使程式碼被惡意編碼,而編輯器對這些程式碼的邏輯判斷解釋與人工審查程式碼的解讀方式不同。
這是一個新的漏洞,儘管Unicode在過去曾被惡意使用,例如「reversing the direction of the last part of a filename」,意即反轉文件檔名的最後一部分,來隱藏該文件的真實名稱。
最近的研究顯示,許多編輯器會在沒有警告的情況下,忽略程式碼中的Unicode字元,而文本編輯器(包括程式編輯器)亦可能在這個基礎上重新排列包含註解及程式碼的順序。因此,編輯器可能會以不同的方式顯示程式碼與註解,並以不同的順序呈現編輯器如何解析它—甚至將程式碼與注釋進行互換。
...
...
| 使用者別 |
新聞閱讀限制 |
文章閱讀限制 |
出版品優惠 |
| 一般使用者 |
10則/每30天 |
0則/每30天 |
付費下載 |
| VIP會員 |
無限制 |
25則/每30天 |
付費下載 |
相關作者
相關产业类别
相關关键字
相關组织
相關网站单元