CVE-2021-42574, CVE-2021-42694 : Vulnérabilités dans le standard Unicode
Le 30 octobre 2021, des chercheurs de l’Université de Cambridge ont publié une étude [1] [2] décrivant deux nouvelles vulnérabilités affectant le standard Unicode, immatriculées CVE-2021-42574 et CVE-2021-42694 et surnommées « Trojan source ». La CVE-2021-42574 permet de coder dans un ordre logique différent de ce qui est affiché à l’écran. La CVE-2021-42694 permet de coder des caractères qui sont visuellement proches mais qui seront interprétés différemment lors de l’exécution du code. Ainsi, leur exploitation sera visuellement difficilement détectable et les attaques en résultant seront particulièrement discrètes.
De multiples produits peuvent être affectés par ces vulnérabilités. Les langages C, C++, C#, JavaScript, Java, Rust, Go et Python sont affectés, toutefois cette liste n’est pas exhaustive. Les chercheurs ont également mené des tests montrant que les éditeurs de codes VS Code, Atom, SublimeText, Notepad, vim et emacs intégrés dans les environnements des systèmes d’exploitation Windows, macOS et Linux sont tous affectés par au moins une des vulnérabilités. Selon les chercheurs, les services web GitHub et BitBucket sont aussi concernés. Certains éditeurs sont en train de développer des correctifs, les développeurs de Rust ont déjà publié une mise à jour qui devrait prévenir toute tentative d’exploitation [3].
Ces vulnérabilités [4] peuvent ainsi constituer une menace sérieuse pour les projets open-source et pour les produits intégrant des éléments open-source. Des acteurs malveillants pourraient en effet exploiter ces vulnérabilités pour mener des attaques de type « supply chain ».
Aucune exploitation active de ces vulnérabilités n’a été rapportée. Cependant, le CERT-FR attire votre attention sur la nécessité de rester vigilants et d’appliquer les recommandations des éditeurs dont les produits seraient affectés.
Liens
- [1] https://arxiv.org/abs/2111.00169
- [2] https://arxiv.org/pdf/2111.00169.pdf
- [3] https://blog.rust-lang.org/2021/11/01/cve-2021-42574.html
- [4] https://www.lightbluetouchpaper.org/2021/11/01/trojan-source-invisible-vulnerabilities/
- [5] https://www.ssi.gouv.fr/actualite/chaine-dattaque-sur-les-prestataires-de-service-et-les-bureaux-detude-un-nouveau-rapport-danalyse-de-la-menace/
- https://www.trojansource.codes
Rappel des avis émis
Dans la période du 25 au 31 octobre 2021, le CERT-FR a émis les publications suivantes :
- CERTFR-2021-AVI-819 : Multiples vulnérabilités dans les produits Nextcloud
- CERTFR-2021-AVI-820 : Multiples vulnérabilités dans Juniper Junos OS et Junos OS Evolved
- CERTFR-2021-AVI-821 : Multiples vulnérabilités dans les produits Nextcloud
- CERTFR-2021-AVI-822 : Vulnérabilité dans les produits ESET
- CERTFR-2021-AVI-823 : Vulnérabilité dans les produits Belden
- CERTFR-2021-AVI-824 : Multiples vulnérabilités dans VMware Spring
- CERTFR-2021-AVI-825 : Multiples vulnérabilités dans les produits Apple
- CERTFR-2021-AVI-826 : Multiples vulnérabilités dans Alfresco
- CERTFR-2021-AVI-827 : Multiples vulnérabilités dans Apple Safari
- CERTFR-2021-AVI-828 : Vulnérabilité dans ISC BIND
- CERTFR-2021-AVI-829 : Multiples vulnérabilités dans les produits Cisco
- CERTFR-2021-AVI-830 : Multiples vulnérabilités dans GitLab
- CERTFR-2021-AVI-831 : Multiples vulnérabilités dans Google Chrome
- CERTFR-2021-AVI-832 : Vulnérabilité dans PHP
- CERTFR-2021-AVI-833 : Multiples vulnérabilités dans le noyau Linux de Red Hat
- CERTFR-2021-AVI-834 : Multiples vulnérabilités dans les produits NetApp
Durant la même période, les publications suivantes ont été mises à jour :
- CERTFR-2021-AVI-815 : Vulnérabilité dans PHP