Vulnerabilidad en las definiciones de caracteres de Unicode Specification (CVE-2021-42694)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
01/11/2021
Última modificación:
29/10/2024
Descripción
** EN DISPUTA ** Se ha detectado un problema en las definiciones de caracteres de la especificación Unicode hasta la versión 14.0. La especificación permite que un adversario produzca identificadores de código fuente, tales como nombres de funciones, utilizando homoglifos que son visualmente idénticos a un identificador de destino. Los adversarios pueden aprovechar esto para inyectar código a través de definiciones de identificadores adversos en dependencias de software ascendente invocadas de forma engañosa en software descendente. NOTA: el Consorcio Unicode ofrece el siguiente enfoque alternativo para presentar este problema. Se observa un problema en la naturaleza del texto internacional que puede afectar a las aplicaciones que implementan la compatibilidad con el estándar Unicode (todas las versiones). A menos que se mitigue, un adversario podría producir identificadores de código fuente utilizando caracteres homogéneos que son visualmente idénticos pero distintos a un identificador de destino. De esta manera, un adversario podría inyectar definiciones de identificadores adversos en el software de entrada que no son detectados por los revisores humanos y son invocados engañosamente en el software de salida. El Consorcio Unicode ha documentado esta clase de vulnerabilidad de seguridad en su documento, Informe Técnico de Unicode #36, Consideraciones de Seguridad de Unicode. El Consorcio Unicode también proporciona orientación sobre las mitigaciones para esta clase de problemas en la Norma Técnica de Unicode #39, Mecanismos de Seguridad de Unicode.
Impacto
Puntuación base 3.x
8.30
Gravedad 3.x
ALTA
Puntuación base 2.0
5.10
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:unicode:unicode:*:*:*:*:*:*:*:* | 14.0.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://www.openwall.com/lists/oss-security/2021/11/01/1
- http://www.openwall.com/lists/oss-security/2021/11/01/6
- http://www.unicode.org/versions/Unicode14.0.0/
- https://cwe.mitre.org/data/definitions/1007.html
- https://security.gentoo.org/glsa/202210-09
- https://trojansource.codes
- https://www.kb.cert.org/vuls/id/999008
- https://www.scyon.nl/post/trojans-in-your-source-code
- https://www.unicode.org/reports/tr36/
- https://www.unicode.org/reports/tr39/