特洛伊之源| 在 Rust 代码中隐藏无形的漏洞
今天 Rust 官方安全应急响应工作组发布了 Rust 编译器安全公告(CVE-2021-42574) ,宣称该工作组被告知 Rust 编译器存在一个安全问题,这个安全问题可能会导致 「人眼审查」的 Rust 代码 与 「编译后给机器用的」机器码 完全不一致。
这个安全问题并不是 Rust 编译器自身的缺陷导致的,而是由 Unicode 相关的双向算法 漏洞(CVE-2021-42574)而导致的。
而利用这个 Unicode 漏洞的攻击方法叫做:特洛伊之源(Trojan Source)
https://zhuanlan.zhihu.com/p/428305373
今天 Rust 官方安全应急响应工作组发布了 Rust 编译器安全公告(CVE-2021-42574) ,宣称该工作组被告知 Rust 编译器存在一个安全问题,这个安全问题可能会导致 「人眼审查」的 Rust 代码 与 「编译后给机器用的」机器码 完全不一致。
这个安全问题并不是 Rust 编译器自身的缺陷导致的,而是由 Unicode 相关的双向算法 漏洞(CVE-2021-42574)而导致的。
而利用这个 Unicode 漏洞的攻击方法叫做:特洛伊之源(Trojan Source)
https://zhuanlan.zhihu.com/p/428305373
