Re: CVE-2021-38503

To: debian-italian <debian-italian@lists.debian.org>
Subject: Re: CVE-2021-38503
From: Davide Prina <davide.prina@gmail.com>
Date: Mon, 22 Nov 2021 23:40:51 +0100
Message-id: <[🔎] befd0fbb-a659-bdda-c5ed-d94adbc34966@gmail.com>
Reply-to: debian-italian <debian-italian@lists.debian.org>
In-reply-to: <[🔎] 921c9667-a305-e259-3bca-7641286c2927@unibo.it>
References: <[🔎] a58c054c-d3d6-d855-e467-6605b4806352@riminilug.it> <[🔎] 4cb972b8-c532-6489-f322-2da8c7bd5dae@fastwebnet.it> <[🔎] 9b7dd719-f6fd-77fb-38e8-067f5053f1e7@riminilug.it> <[🔎] 7791a788-e336-84ca-6f7c-8dd3b637d370@gmail.com> <[🔎] 921c9667-a305-e259-3bca-7641286c2927@unibo.it>

On 22/11/21 08:20, Diego Zuccato wrote:

Il 21/11/2021 08:19, Davide Prina ha scritto:

Ad esempio è stata scoperta recentemente una vulnerabilità suisorgenti di quasi tutti i linguaggi di programmazione e, almenol'ultima volta che avevo letto, non c'erano i dettagli per capire cosaeffettivamente fosse e mi sembra che avevano dato 70 giorni a tuttiper sistemare il problema prima di rendere totalmente pubblica lavulnerabilità.

Però, IMVHO, non è una vulnerabilità del compilatore.

Non avevo detto questo, poiché quando avevo letto io non c'era scrittoquasi nulla.


Però qui:

https://www.schneier.com/blog/archives/2021/11/hiding-vulnerabilities-in-source-code.html

dice:

many compilers, interpreters, code editors, and repositories haveimplemented defenses

Quindi probabilmente introdurranno un flag in vari compilatori perintercettare problematiche di questo tipo e segnalarle


Infatti qui:
https://trojansource.codes/

dice:

Compilers, interpreters, and build pipelines supporting Unicode shouldthrow errors or warnings for unterminated bidirectional controlcharacters in comments or string literals, and for identifiers withmixed-script confusable characters.Language specifications should formally disallow unterminatedbidirectional control characters in comments and string literals.Code editors and repository frontends should make bidirectional controlcharacters and mixed-script confusable characters perceptible withvisual symbols or warnings.

e nel PDF spiega un po' meglio di cosa si tratta:https://trojansource.codes/trojan-source.pdf

Quando avevo letto io c'era solo un accenno al fatto di tipi dicaratteri estesi, di commenti, di lettura destra-sinistra esinistra-destra, senza far capire nulla, invece nel pdf è spiegato tuttopiù in dettaglio.


Ciao
Davide
--
Fate una prova di guida ... e tenetevi la macchina!:
http://linguistico.sf.net/wiki/doku.php?id=usaooo2
Non autorizzo la memorizzazione del mio indirizzo su outlook

Reply to:

References:
- CVE-2021-38503
  - From: Piviul <piviul@riminilug.it>
- Re: CVE-2021-38503
  - From: valerio <bardo_ml_debian@fastwebnet.it>
- Re: CVE-2021-38503
  - From: Piviul <piviul@riminilug.it>
- Re: CVE-2021-38503
  - From: Davide Prina <davide.prina@gmail.com>
- Re: CVE-2021-38503
  - From: Diego Zuccato <diego.zuccato@unibo.it>

Prev by Date: Re: CVE-2021-38503
Next by Date: Informazioni su zoom meeting
Previous by thread: Re: CVE-2021-38503
Next by thread: Re: CVE-2021-38503
Index(es):
- Date
- Thread