Sicherheitsforscher und Curl-Maintainer Daniel Stenberg hat in seinem Blog auf ein Sicherheitsproblem durch Unicode-Schwindel aufmerksam gemacht, das für Reviewer, Merger und CI-Jobs schlecht zu erkennen ist.
Stenberg zeigt in seinem Blog, wie ein Angreifer ein gängiges ASCII-Zeichen im Code durch ein fast identisches aus der Unicode-Tabelle ersetzt. Das ist im Code-Editor nicht zu erkennen, ergibt aber beispielsweise eine andere URL, hinter der sich bösartiger Code verstecken kann. Als Beispiel verwendet der Blogger ein armenisches g.
Die Zahl möglicher Verwechselungen ist groß: Auf der Seite von Unicode.org lassen sich die vielen ähnlichen Zeichen auflisten, hier im Bild am Beispiel von heise.
Die Zahl der ähnlichen, für einen URL-Schwindel geeigneten Zeichen ist groß.
(Bild: Screenshot Unicode.org)
Die Diff-Ansicht auf GitHub weist beim in der URL ausgetauschten g zwar in Rot einen geänderten Absatz aus, aber mit menschlichem Auge ist kein Unterschied ersichtlich und ein Maintainer neigt womöglich dazu, die Neuerung einfach durchzuwinken. Im Gegensatz dazu warnt das auf Code-Review spezialisierte Gitea vor der Art der Änderung: "This line has ambigious unicode characters".
Stenbergs Curl-Projekt hat als Gegenmaßnahme einen speziellen CI-Job zugefügt, der prüft, an welchen Stellen Unicode erlaubt ist, und wo nicht. Laut Stenberg hat sich auch GitHub des Problems angenommen und will es fixen.
(
Sie haben heise+ bereits abonniert? Hier anmelden.
Oder benötigen Sie mehr Informationen zum heise+ Abo
Kommentare