ソースコードに脆弱性を潜ませられるUnicode悪用攻撃法「Trojan Source」を研究者が発表

英ケンブリッジ大学コンピュータ研究所は11月1日（現地時間）、「Trojan Source：Invisible Vulnerabilities」（リンク先はPDF）という論文を公開した。Trojan Sourceは、「人間のコードレビュアーには見えないターゲットを絞った脆弱性を作成するためのクールな新トリック」という。 研究者のロス・アンダーソン氏は、「Unicodeの方向性オーバーライド文字を使って、コードを別のロジックのアナグラムとして表示するこの攻撃は、C、C++、C＃、JavaScript、Java、Rust、Go、Pythonに対して機能することを確認しており、他のほとんどの言語に対しても機能すると思われる」と説明する。 「人間が見るのと異なるロジックをコンパイラに示せるように、ソースコードファイルのエンコーディングを操作する方法を発見した」。コメントや文字列に埋め込まれた制御文

[t_motooka]

「Unicodeの脆弱性」ではないと思うが、それはさておき、OSSみたいに外部からコードが送られる環境では気にしとかないとね。

[arutie]

昔ファイル名で使われてた方法のソース版？

[richard_raw]

Brainfxxkなら大丈夫？（ぇ

[deep_one]

URLを詐称する時に使われるテクニックだった。人間のレビュアーをごまかすのね。というかソースコードはアスキー文字に限定すべきだな。（日本語コメント書けないが。）

[ooblog]

#プログラミング #Unicode 「Trojan Source~方向性オーバーライド~ロジックのアナグラム~ソースコードを並べ替え~人間のコードレビュアーには見えない~防御する方法~紛らわしい文字~エラーや警告~双方向制御文字を正式に禁止」

[tattyu]

右からの文化圏の人ってソース自体も右に寄せてるんだろうか。