新型Trojan Source攻击技术可影响大部分编程语言编译器

2021年11月1日，国际信息安全资讯网站the Record报道，来自英国剑桥大学的安全研究人员发现了一种新的理论攻击技术，可以通过注释字段将恶意代码插入合法的应用程序中，从而加载恶意软件或关闭安全防护功能。该攻击技术被研究人员命名为“Trojan Source（木马源攻击）”。攻击的实现依赖于在源代码注释中使用双向控制字符（也被称为BiDi字符），是一种Unicode控制字符，用于规范双向文本的显示顺序，控制文本从LTR（从左到右模式）到RTL（从右到左模式）的转换。 剑桥研究小组表示，他们发现大多数代码编译器和代码编辑器都无法在源代码注释中标识出BiDi字符的存在，这使得攻击者可以在代码注释中插入BiDi控制字符而不被代码审查人员发现，从而在代码编译时将文本内容从注释字段移动到可执行代码位置，实现恶意功能。目前，相关团队已经陆续发布安全更新，应对Trojan Source攻击技术。