15.11.2021
Trojanischer Quellcode
Sicherheitslücke in praktisch allen Compilern
Autor: Bernhard Lauer
trojansource.codes
Praktisch alle Compiler sind anfällig für einen heimtückischen Angriff, bei dem ein Angreifer gezielt Schwachstellen in jede Software einschleusen kann, ohne entdeckt zu werden, warnt eine Anfang November veröffentlichte Studie.
Forscher der University of Cambridge entdeckten einen Fehler, der die meisten Computercode-Compiler und viele Entwicklungsumgebungen betrifft. Es handelt sich um eine Komponente des Textkodierungs-Standards Unicode mit mehr als 143.000 Zeichen in 154 verschiedenen Sprachen. Die Schwachstelle betrifft insbesondere den bidirektionalen oder "Bidi"-Algorithmus von Unicode, der die Anzeige von Text mit gemischten Schriften mit unterschiedlicher Anzeigereihenfolge handhabt, wie z. B. Arabisch - das von rechts nach links gelesen wird - und Englisch – von links nach rechts.
Das Problem: Die meisten Programmiersprachen erlauben es, diese Bidi-Overrides in Kommentare und Strings einzubauen. Das ist schlecht, weil die meisten Programmiersprachen Kommentare zulassen, in denen der gesamte Text - einschließlich Steuerzeichen - von Compilern und Interpretern ignoriert wird.
Ross Anderson, Professor für Computersicherheit in Cambridge und Mitautor der Studie: "Man kann sie also in Quellcode verwenden, der für einen menschlichen Prüfer harmlos erscheint, aber in Wirklichkeit etwas Böses anrichten kann. Das ist eine schlechte Nachricht für Projekte wie Linux und Webkit, die Beiträge von zufälligen Personen annehmen, sie einer manuellen Überprüfung unterziehen und sie dann in kritischen Code einbauen. Diese Schwachstelle ist, soweit ich weiß, die erste, die fast alles betrifft".
Weitere Informationen finden Sie unter trojansource.codes, der Original-Veröffentlichung zur Schwachstelle und in diesem englischsprachigen Artikel.
Swisscom
Neue Cyberbedrohungen auf dem Radar
Der neue Cyber Security Threat Radar von Swisscom zeigt die Angriffsmethoden und das Vorgehen von Cyberkriminellen. Er beleuchtet neu auch die Entwicklungen in den Bereichen "Disinformation & Destabilisation", "Manipulated Generative AI" und "Unsecure IoT/OT-Devices".
>>
Zum Welt-Passwort-Tag
"95 % der Cyber-Sicherheitsprobleme sind auf menschliche Fehler zurückzuführen"
Am 2. Mai ist Welt-Passwort-Tag. Ein guter Anlass für den Frühlingsputz bei alten Logins und ein grundsätzliches Überdenken der eigenen Cybersecurity. Miro Mitrovic von Proofpoint gibt dazu einige konkrete Tipps.
>>
Künstliche Intelligenz
Memary - Langzeitgedächtnis für autonome Agenten
Das Hauptziel ist es, autonomen Agenten die Möglichkeit zu geben, ihr Wissen über einen längeren Zeitraum hinweg zu speichern und abzurufen.
>>
Cloud Infrastructure
Oracle mit neuen KI-Funktionen für Sales, Marketing und Kundenservice
Neue KI-Funktionen in Oracle Cloud CX sollen Marketingspezialisten, Verkäufern und Servicemitarbeitern helfen, die Kundenzufriedenheit zu verbessern, die Produktivität zu steigern und die Geschäftszyklen zu beschleunigen.
>>