新型Trojan Source攻擊技術可影響大部分編程語言編譯器

2021年11月1日，國際信息安全資訊網站the Record報道，來自英國劍橋大學的安全研究人員發現了一種新的理論攻擊技術，可以通過注釋字段將惡意代碼插入合法的應用程序中，從而加載惡意軟件或關閉安全防護功能。該攻擊技術被研究人員命名為“Trojan Source（木馬源攻擊）”。攻擊的實現依賴于在源代碼注釋中使用雙向控制字符（也被稱為BiDi字符），是一種Unicode控制字符，用于規范雙向文本的顯示順序，控制文本從LTR（從左到右模式）到RTL（從右到左模式）的轉換。 劍橋研究小組表示，他們發現大多數代碼編譯器和代碼編輯器都無法在源代碼注釋中標識出BiDi字符的存在，這使得攻擊者可以在代碼注釋中插入BiDi控制字符而不被代碼審查人員發現，從而在代碼編譯時將文本內容從注釋字段移動到可執行代碼位置，實現惡意功能。目前，相關團隊已經陸續發布安全更新，應對Trojan Source攻擊技術。