Entwicklungswerkzeuge informieren über Unicode-Fehler

Der Forscher Anderson sagte dem Journalisten Brian Krebs bezüglich der praktischen Auswirkungen der Lücken: "Man kann sie also in Quellcode verwenden, der für einen menschlichen Prüfer harmlos erscheint und in Wirklichkeit etwas Böses anrichten kann." Weiter heißt es: "Das ist eine schlechte Nachricht für Projekte wie Linux und Webkit, die Beiträge von zufälligen Personen akzeptieren, sie einer manuellen Überprüfung unterziehen und sie dann in kritischen Code einbauen. Diese Schwachstelle ist, soweit ich weiß, die erste, die fast alles betrifft."

Für menschliche Codeprüfer ist es möglicherweise schwierig, einen solchen Angriff zu erkennen, weil der gerenderte Code je nach Editor und genutzter Kodierung völlig akzeptabel aussieht. Solchen Schadcode könnten sich Entwickler auch durch das Kopieren von Code-Beispielen auf Internetplattformen einfangen. "Jeder Entwickler, der Code aus einer nicht vertrauenswürdigen Quelle in eine geschützte Codebasis kopiert, kann versehentlich eine unsichtbare Schwachstelle einführen", sagte Anderson.

Dieser Ansicht widersprechen aber einige Entwickler vehement. So schreibt etwa die Vorsitzende des Security-Teams von Alpine Linux, Ariadne Conill, auf Twitter, dass derartige über Unicode umgesetzte Tricks schnell und leicht in Editoren erkannt werden könnten, wenn diese entsprechend eingestellt sind. Bei Conill geschieht dies etwa sogar standardmäßig mit GNU Nano.

Gegenmaßnahmen sollen Entwicklern bei der Fehlersuche helfen

Matthew Green, der an der Johns Hopkins Universität Kryptographie lehrt, überrascht es nicht, dass die meisten Compiler mit Unicode dazu gebracht werden können, Code anders zu verarbeiten. "Was mich jedoch überrascht, ist, wie viele Compiler Unicode ohne jegliche Abwehrmechanismen analysieren und wie effektiv ihre Rechts-nach-links-Kodierungstechnik ist, um Code in Codebasen einzuschleusen. Das ist ein wirklich cleverer Trick, von dem ich nicht einmal wusste, dass er möglich ist", sagte Green.

"Die schlechte Nachricht ist, dass es keine Abwehrmechanismen gab, und jetzt, wo die Leute davon wissen, könnten sie anfangen, es auszunutzen", sagte Green. "Hoffentlich patchen die Entwickler von Compilern und Code-Editoren das Problem schnell! Aber da einige Leute ihre Entwicklungswerkzeuge nicht regelmäßig aktualisieren, wird es zumindest für eine Weile ein gewisses Risiko geben."

Betroffen von den Unicode-Problemen sind theoretisch alle Programmiersprachen, deren Compiler oder Interpreter sich an den Standard halten. Die Forscher selbst haben entsprechende Beispiele für C, C++, C#, Javascript, Java, Rust, Go und Python auf Github veröffentlicht.

Als Gegenmaßnahmen stehen nun erste Patches für die Compiler-Sammlungen von GCC und LLVM bereit, die entsprechende Warnungen vor den Unicode-Zeichen umsetzen. Das Rust-Team schreibt in einer Sicherheitsnotiz darüber hinaus, dass es sich bei dem Verhalten um keinen Fehler in dem eigenen Compiler Rustc handele, das Team dennoch aktiv dagegen vorgehe.

Mit der aktuellen Version 1.56.1 stehen zwei Linter bereit, die entsprechende Zeichen erkennen. Das Rust-Team nennt außerdem weitere Unicode-Zeichen, deren Vorhandensein Entwickler in Code künftig einfach regelmäßig prüfen sollten. Letzteres umgesetzt haben bereits die Code-Hoster Github und Gitlab als Reaktion auf die wissenschaftliche Veröffentlichung. Auch Atlassian hat schon reagiert. Weitere Editoren und Werkzeuge dürften folgen.