此前我們報導了 Unicode 算法漏洞“Trojan Source”幾乎影響所有編程語言，利用 Unicode 的控制字符，可對程序的源代碼進行重新排序，從而在編譯時產(chǎn)生另一種結果。但即將發(fā)布的 GCC 12 編譯器版本有一個新的警告，可以幫助指出源代碼中可能存在的 Trojan Source 攻擊。

GCC 12 添加了 -Wbidi-chars 警告標志，用于檢測涉及 Unicode 控制字符的 Trojan Source 攻擊。此外還有一個新的默認開啟的標志，用于 GCC 診斷以轉(zhuǎn)義非 ASCII 字符，以幫助指示控制字符問題。新的 -Wbidi-chars 選項已準備好用于 GCC 12，應該會在 4 月左右以 GCC 12.1 的形式穩(wěn)定發(fā)布。

此外，紅帽技術人員 David Malcolm (曾參與 GCC 編譯器對抗 Trojan Source 攻擊的技術開發(fā))，在上周寫了一篇博客，詳細介紹了 Unicode 算法漏洞“Trojan Source” 的實現(xiàn)原理，以及 GCC 12 這個新的預防警告 -Wbidi-chars 如何生效。

本文轉(zhuǎn)自OSCHINA

本文標題：GCC 12 已準備好抵御基于 Unicode 的 Trojan Source 攻擊

本文地址：https://www.oschina.net/news/178812/gcc-12-prevent-trojan-source-attacks