- إنضم
- 11/12/18
- المشاركات
- 24,708
- التفاعلات
- 58,548
اكتشف فريق من العلماء من جامعة كامبريدج ثغرة تهدد عمليا أي "برنامج" ، كما حذروا في مقال نُشر يوم الأحد يعرضون فيه نتائج تحليلهم. في الوقت نفسه ، قاموا بنشرها في مستودع Github.
تقريبًا جميع المجمعين (البرامج التي "تترجم" التعليمات البرمجية التي يمكن للبشر قراءتها إلى تنسيق يمكن فهمه بواسطة الكمبيوتر) معرضون لهجوم يمكن من خلاله إدخال ثغرات أمنية معينة في أي برنامج دون أن يتم اكتشافها.
يتضمن الضعف معيار ترميز النص الرقمي Unicode ، وبشكل أكثر تحديدًا ، خوارزمية ثنائية الاتجاه ، والتي تتعامل مع عرض النص بأوامر كتابة مختلفة ، مثل العربية (قراءة من اليمين إلى اليسار) والإنجليزية أو الإسبانية (في الاتجاه العكسي). .
ويشير العلماء إلى أنه "في بعض السيناريوهات ، قد لا يكون الترتيب المحدد مسبقًا الذي وضعته خوارزمية ثنائية الاتجاه كافيًا ؛ وبالنسبة لهذه الحالات ، يتم تصور رموز التحكم في التجاوز". وأشاروا إلى أن هذه الأحرف ، غير المرئية ، يمكن إدخالها عدة مرات ، مما يسمح "بإعادة ترتيب السلاسل بشكل تعسفي تقريبًا".
يحذر المحللون من أن "هذا يعطي للخصم تحكمًا تفصيليًا ، حتى يتمكن من التلاعب بترتيب عرض النص [تحويله] إلى رسم تخطيطي بترتيب مشفر منطقيًا".
نتيجة لذلك ، يمكن أن تبدو الشفرة التي تم التلاعب بها طبيعية للبشر ، وفي الوقت نفسه ، يتم تشغيلها بشكل غير متوقع بواسطة المترجمين. أيضًا ، لن يتم اكتشافه عند التحقق من بناء جملة البرمجة في معظم اللغات.
يقول الخبراء: "فكرتنا الأساسية هي أنه يمكننا إعادة ترتيب الأحرف في شفرة المصدر بحيث يمثل ترتيب العرض الناتج أيضًا رمز مصدر صالحًا من الناحية التركيبية".
"الثغرة الأولى التي تؤثر على كل شيء تقريبًا"
في الوقت الحالي ، تم تأكيد الثغرة الأمنية - التي أطلقها المكتشفون Trojan Source - في البرمجة المرتبطة باللغات C # و C ++ و C و Go و Java و JavaScriipt و Python و Rust.
نظرًا لأن أحرف تجاوز Bidi تستمر من خلال وظائف النسخ واللصق في معظم المتصفحات والمحررين وأنظمة التشغيل الحديثة ، فمن الممكن حدوث انتشار غير متحكم فيه لـ `` الاستغلال '' ، كما قال روس أندرسون ، أحد مؤلفي الدراسة ، إلى بوابة كريبس على الأمن.
أوضح الخبير أن "أي مطور يقوم بنسخ رمز من مصدر غير موثوق به إلى قاعدة تعليمات برمجية محمية يمكن أن يتسبب عن غير قصد في ثغرة أمنية غير مرئية".
"هذه أخبار سيئة لمشاريع مثل Linux و Webkit التي تقبل المساهمات من أشخاص عشوائيين ، وتضعهم في المراجعة اليدوية ، ثم تقوم بتضمينهم في التعليمات البرمجية الهامة. هذه الثغرة ، على حد علمي ، هي أول من يؤثر على كل شيء تقريبًا." وأشار أندرسون.
