Trojan Source
Trojan Source Attacks
CVE-2021-42694
JVNDB-2021-003961 - JVN iPedia - 脆弱性対策情報のデータベース
JVNVU#98850865: Unicodeを採用するコンパイラに双方向テキスト制御文字およびホモグリフ文字の意図しない制御を可能にする脆弱性
CVE-2021-42694 | SUSE
Unicodeの制御コードを利用したソースコードの偽装
Unicodeは様々な言語圏の人が使えるように多くの文字を収録している
文字を右から左に表示する言語圏もある
アラビア文字、ヘブライ文字…
文字列の中で表示方向が混合している場合、正しく制御しなければならない
制御コードを使い実現している
RLO
他にもある
これを悪用し、
拡張子の偽装
もできる
RLOを利用したファイル拡張子の偽装
人間の目には判断がつきにくい文字をつかう偽装方法もある
ホモグリフ攻撃
制御コードを利用したファイル名の偽装の例(
トロイの木馬
)はあるが、ソースコードに埋め込むのが新しい?
なので
Trojan Horse
をもじっている?
Scrapboxのコードブロックで警告されるようになった文字
/shokai/Trojan source#61cf19b497c2910000e5a3a1
U+200B
U+202E
U+2066
U+2069