Sicherheitsforscher der Universität Cambridge haben einen Bug gefunden, der potenziell so gut wie jeglichen Code angreifbar macht. Der Fehler findet sich in den Compilern, also den Übersetzungsmaschinen, die von Menschen geschriebenen Code in Maschinensprache übersetzen. Es seien die meisten gängigen Compiler betroffen, wie es heisst. Die Forscher nennen den Bug Trojan Source und titeln ihr zugehöriges Paper der Studie (
hier als PDF-Download) mit "Trojan Source: Unsichtbare Schwachstellen".
Dank des Bugs könnten Angreifer den Compiler so beeinflussen, dass der eigentlich in den Compiler gefütterte Code unbemerkt geändert und etwa für kriminelle Zwecke missbraucht werden kann. Die grösste Angst dabei ist, dass Trojan Source genutzt werden könnte, um Angriffe auf die weltweiten Lieferketten zu unternehmen, ähnlich den Solarwinds-Attacken ("Swiss IT Magazine"
berichtete). Die Entdecker sprechen von einer "unmittelbaren Gefahr", die die meisten Programmiersprachen betrifft, weshalb die Gefahr für die ganze Industrie respektive Lieferkette entsprechend hoch sein dürfte. Das Forscherteam hat die betroffenen Hersteller kontaktiert, wie Ross Anderson, Professor für Computer Security in Cambridge und Mitverfasser der Studie,
gegenüber "Krebs On Security" kommentierte. Während etwa die Hälfte reagiert und Patches versprochen hat, würden andere "auf sich warten lassen", so Anderson.
(win)