SC Médias Des rapports indiquent que les organisations pourraient être soumises à des attaques en amont similaires à l’intrusion dans la chaîne d’approvisionnement de SolarWinds il y a près de quatre ans via l’exploitation de la nouvelle vulnérabilité « Trojan Source », qui permet des injections furtives de code source malveillant.
Les acteurs de la menace pourraient exploiter cette faille pour faciliter la manipulation de l’algorithme bidirectionnel Unicode avec des instructions cachées, qui, une fois exécutées, permettent soit des intrusions à « retour anticipé », soit la transmission de code en tant que commentaires qui permettraient ensuite des injections de vulnérabilité, selon une étude des chercheurs de l’Université de Cambridge, Nicholas Boucher et Ross Anderson.
Les infections pourraient également se propager à d’autres applications et services via le ciblage de sites de partage de code, ont ajouté Boucher et Anderson.
Alors que GitHub, BitBucket, Emacs, Rust et Visual Studio Code ont déjà mis en œuvre des mesures pour éviter toute compromission potentielle via la manipulation Bidi, les développeurs ont été invités à rester vigilants quant aux parties de leurs codes sources qui pourraient avoir été copiées à partir de référentiels partagés.
2024-07-16 15:49:00
1721134785
#Des #attaques #amont #sont #probables #avec #nouvelle #vulnérabilité #source #cheval #Troie
