我们之前曾报道过Unicode算法漏洞“TrojanSource”影响几乎所有的编程语言。使用Unicode控制字符,程序的源代码可以重新排序,从而在编译时产生另一个结果。但是即将发布的GCC12编译器版本有一个新警告,可以帮助指出源代码中可能存在的TrojanSource攻击。GCC12添加了-Wbidi-chars警告标志来检测涉及Unicode控制字符的特洛伊木马源攻击。GCC诊断还有一个新的默认启用标志,用于转义非ASCII字符以帮助指示控制字符问题。新的-Wbidi-chars选项已为GCC12做好准备,应该会在4月左右的稳定版本中作为GCC12.1发布。另外,RedHat技术人员DavidMalcolm(曾参与GCC编译器对抗木马Source攻击的技术开发)上周写了一篇博客,详细介绍了Unicode算法漏洞“TrojanSource”的实现原理,以及GCC12这个新的防范措施警告-Wbidi-chars如何生效。本文转自OSCHINA文章标题:GCC12准备抵御基于Unicode的木马源码攻击
