Sicherheitslücke in praktisch allen Compilern

Forscher der University of Cambridge entdeckten einen Fehler, der die meisten Computercode-Compiler und viele Entwicklungsumgebungen betrifft. Es handelt sich um eine Komponente des Textkodierungs-Standards Unicode mit mehr als 143'000 Zeichen in 154 verschiedenen Sprachen.

Die Schwachstelle betrifft insbesondere den bidirektionalen oder «Bidi»-Algorithmus von Unicode, der die Anzeige von Text mit gemischten Schriften mit unterschiedlicher Anzeigereihenfolge handhabt, wie z. B. Arabisch - das von rechts nach links gelesen wird - und Englisch – von links nach rechts.

Das Problem: Die meisten Programmiersprachen erlauben es, diese Bidi-Overrides in Kommentare und Strings einzubauen. Das ist schlecht, weil die meisten Programmiersprachen Kommentare zulassen, in denen der gesamte Text - einschliesslich Steuerzeichen - von Compilern und Interpretern ignoriert wird.

Ross Anderson, Professor für Computersicherheit in Cambridge und Mitautor der Studie: «Man kann sie also in Quellcode verwenden, der für einen menschlichen Prüfer harmlos erscheint, aber in Wirklichkeit etwas Böses anrichten kann. Das ist eine schlechte Nachricht für Projekte wie Linux und Webkit, die Beiträge von zufälligen Personen annehmen, sie einer manuellen Überprüfung unterziehen und sie dann in kritischen Code einbauen. Diese Schwachstelle ist, soweit ich weiss, die erste, die fast alles betrifft».

Weitere Informationen finden Sie unter trojansource.codes, der Original-Veröffentlichung zur Schwachstelle und in diesem englischsprachigen Artikel.