15.11.2021
Trojanischer Quellcode
Sicherheitslücke in praktisch allen Compilern
Autor: Bernhard Lauer
trojansource.codes
Praktisch alle Compiler sind anfällig für einen heimtückischen Angriff, bei dem ein Angreifer gezielt Schwachstellen in jede Software einschleusen kann, ohne entdeckt zu werden, warnt eine Anfang November veröffentlichte Studie.
Forscher der University of Cambridge entdeckten einen Fehler, der die meisten Computercode-Compiler und viele Entwicklungsumgebungen betrifft. Es handelt sich um eine Komponente des Textkodierungs-Standards Unicode mit mehr als 143.000 Zeichen in 154 verschiedenen Sprachen. Die Schwachstelle betrifft insbesondere den bidirektionalen oder "Bidi"-Algorithmus von Unicode, der die Anzeige von Text mit gemischten Schriften mit unterschiedlicher Anzeigereihenfolge handhabt, wie z. B. Arabisch - das von rechts nach links gelesen wird - und Englisch – von links nach rechts.
Das Problem: Die meisten Programmiersprachen erlauben es, diese Bidi-Overrides in Kommentare und Strings einzubauen. Das ist schlecht, weil die meisten Programmiersprachen Kommentare zulassen, in denen der gesamte Text - einschließlich Steuerzeichen - von Compilern und Interpretern ignoriert wird.
Ross Anderson, Professor für Computersicherheit in Cambridge und Mitautor der Studie: "Man kann sie also in Quellcode verwenden, der für einen menschlichen Prüfer harmlos erscheint, aber in Wirklichkeit etwas Böses anrichten kann. Das ist eine schlechte Nachricht für Projekte wie Linux und Webkit, die Beiträge von zufälligen Personen annehmen, sie einer manuellen Überprüfung unterziehen und sie dann in kritischen Code einbauen. Diese Schwachstelle ist, soweit ich weiß, die erste, die fast alles betrifft".
Weitere Informationen finden Sie unter trojansource.codes, der Original-Veröffentlichung zur Schwachstelle und in diesem englischsprachigen Artikel.
Test-Framework
Testautomatisierung mit C# und Atata
Atata ist ein umfassendes C#-Framework für die Web-Testautomatisierung, das auf Selenium WebDriver basiert. Es verwendet das Fluent Page Object Pattern und verfügt über ein einzigartiges Protokollierungssystem sowie Trigger-Funktionalitäten.
>>
Programmiersprache
Primärkonstruktoren in C# erleichtern den Code-Refactoring-Prozess
Zusammenfassen, was zusammen gehört: Dabei helfen die in C# 12 neu eingeführten Primärkonstruktoren, indem sie Code kürzer und klarer machen.
>>
Tools
GitLab Duo Chat mit KI-Chat-Unterstützung
Der DevSecOps-Plattform-Anbieter GitLab führt den GitLab Duo Chat ein. Dieses Tool integriert Künstliche Intelligenz in die DevSecOps-Workflows.
>>
Cyberbedrohungen überall
IT-Sicherheit unter der Lupe
Cybersecurity ist essentiell in der IT-Planung, doch Prioritätenkonflikte und die Vielfalt der Aufgaben limitieren oft die Umsetzung. Das größte Sicherheitsrisiko bleibt der Mensch.
>>