硬核观察 #443 研究人员在源代码中隐藏人眼看不见的漏洞
创始人
2024-03-02 08:51:50
0

研究人员在源代码中隐藏人眼看不见的漏洞

剑桥大学的研究人员发表论文,介绍了 在源代码中隐藏人眼看不见的漏洞的攻击方法。这种被称为 Trojan-Source 的攻击方法利用了 Unicode 中的特殊字符,通过方向覆盖、同形异义等方法创造出对编译器和人类视觉上存在差异的源代码。人眼看不出漏洞,但对编译器来说逻辑编码顺序和显示的顺序是不同的。这种攻击方法对大多数主流编程语言都有效,研究人员已经将漏洞报告给了相关项目。

老王点评:“眼见并不为实”,这个锅一方面是 Unicode 无克制的增加各种奇怪字符和控制字符导致的,另外一方面也是传统上面对 ASCII 字符的编程语言支持 Unicode 时没有预料到这种恶意利用。

美国航空机构与电信机构因 5G 发生争执

美国联邦航空管理局正准备向飞行员和航空公司发出警告,指出一项新的 5G 无线服务可能会干扰飞机驾驶舱安全系统、自动化系统,该服务将于 12 月初上线。美国联邦通信委员会则对安全问题进行了反驳,称在审查了对航空安全的潜在影响后,于 2020 年初制定了频谱使用规则,现有证据不支持 5G 网络会干扰航空安全的结论。双方争论的核心问题是无线电频谱在 3.7 到4.2 GHz 之间的波段。该波段非常适合 5G 网络传输,并且已经服务于一些国家的手机网络中。而航空设备则工作在 4.2 至 4.4 GHz 的附近频段,因此,美国联邦航空管理局觉得增加了干扰的可能性。

老王点评:说到底,还是频谱之争。

蓝牙标签被用来跟踪被盗物品

今年 4 月,苹果公司发布了 29 美元的 AirTag,为更广泛的受众带来了更有效的蓝牙跟踪技术。虽然苹果公司从没有说过 AirTag 可被用于 追回被盗财产,但实际上该公司建立了一个非常适合此类用例的网络。每一款兼容的 iPhone、iPad 和 Mac 都被默默地用作定位设备,AirTag 使用蓝牙向最近的 Apple 设备发送带有其加密位置的 ping,这些设备将信息传递到苹果的 Find My 网络。兼容 Apple 设备有近 10 亿台,使得 Find My 非常有效,尤其是在城市中。

老王点评:从技术上来说,是一个非常有用的进步,但是如何避免被滥用是个问题。

相关内容

一行代码、无需训练突破视频...
自 OpenAI 发布 Sora 以来,视频生成领域迎来爆发式增长...
2025-03-12 11:12:39
亚奥商圈打造5G+AI示范...
本报讯(记者 孙杰)亚奥商圈将加速数字化升级,助推北京加快建设全球...
2025-03-12 07:12:57
【投融资动态】开源中国C轮...
证券之星消息,根据天眼查APP于3月5日公布的信息整理,开源共识(...
2025-03-07 19:49:15
华西证券:DeepSeek...
每经AI快讯,华西证券研报表示,DeepSeek的开源是真正通往A...
2025-03-07 10:24:24
性能比肩DeepSeek,...
阿里再度推进开源进程。3月6日,阿里凌晨发布并开源通义千问推理模型...
2025-03-06 22:49:24
阿里深夜开源推理模型QwQ...
今夜,Manus发布之后,随之而来赶到战场的,是阿里。 凌晨3点...
2025-03-06 08:50:26

热门资讯

使用 KRAWL 扫描 Kub... 用 KRAWL 脚本来识别 Kubernetes Pod 和容器中的错误。当你使用 Kubernet...
Helix:高级 Linux ... 说到 基于终端的文本编辑器,通常 Vim、Emacs 和 Nano 受到了关注。这并不意味着没有其他...
通过 SaltStack 管理... 我在搜索Puppet的替代品时,偶然间碰到了Salt。我喜欢puppet,但是我又爱上Salt了:)...
Epic 游戏商店现在可在 S... 现在可以在 Steam Deck 上运行 Epic 游戏商店了,几乎无懈可击! 但是,它是非官方的。...
如何在 Github 上创建一... 学习如何复刻一个仓库,进行更改,并要求维护人员审查并合并它。你知道如何使用 git 了,你有一个 G...
2024 开年,LLUG 和你... Hi,Linuxer,2024 新年伊始,不知道你是否已经准备好迎接新的一年~ 2024 年,Lin...
Bazzite:专为 Stea... 为 Linux 桌面或者 Steam Deck 做好游戏准备,听起来都很刺激!对于一个专为 Linu...
Motrix:一个漂亮的跨平台... 一个开源的下载管理器,提供了一个简洁的用户界面,同时提供了跨平台操作的所有基本功能。在这里了解关于它...
Bash 脚本中如何使用 he... here 文档 here document (LCTT 译注:here 文档又称作 heredoc ...
使用 dialog 和 jq ... 为何选择文字用户界面(TUI)?许多人每日都在使用终端,因此, 文字用户界面 Text User I...