Re: CVE-2021-38503
On 22/11/21 08:19, Paolo Redælli wrote:
Il 21/11/21 08:19, Davide Prina ha scritto:
Ad esempio è stata scoperta recentemente una vulnerabilità sui
sorgenti di quasi tutti i linguaggi di programmazione e, almeno
l'ultima volta che avevo letto, non c'erano i dettagli per capire cosa
effettivamente fosse e mi sembra che avevano dato 70 giorni a tutti
per sistemare il problema prima di rendere totalmente pubblica la
vulnerabilità.
Mi incuriosisci! Di cosa si trattava?
da quello che avevo capito si può introdurre nei sorgenti codice
malevolo immettendolo nei commenti e sfruttando il fatto che per alcune
lingue si scriva da destra a sinistra e per altre da sinistra a destra.
In questo modo un'analisi manuale può ritenere una cosa innocua, quando
in realtà non lo è.
Quando avevo letto io c'era ancora l'embargo e non si avevano dettagli,
ma solo un accenno generico, ora non so se l'embargo è finito.
Comunque cercando dovrebbe essere questo il CVE aperto:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-42574
e anche qui se ne era parlato
https://www.schneier.com/blog/archives/2021/11/hiding-vulnerabilities-in-source-code.html
Ciao
Davide
--
Fate una prova di guida ... e tenetevi la macchina!:
http://linguistico.sf.net/wiki/doku.php?id=usaooo2
Non autorizzo la memorizzazione del mio indirizzo su outlook
Reply to: