JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は11月10日、「JVNVU#98850865: Unicodeを採用するコンパイラに双方向テキスト制御文字およびホモグリフ文字の意図しない制御を可能にする脆弱性」において、14.0までのUnicode仕様を採用するコンパイラ、インタプリタ、およびそのほかの開発ツールなどに脆弱性が存在すると伝えた。この脆弱性を悪用されると、攻撃者によって意図しない制御をさせられる危険性がある。
脆弱性に関する情報は次のページにまとまっている。
-
JVNVU#98850865: Unicodeを採用するコンパイラに双方向テキスト制御文字およびホモグリフ文字の意図しない制御を可能にする脆弱性
脆弱性の影響を受けるツールでは、双方向テキスト制御文字およびホモグリフ文字の意図しない制御が可能になっているとされており、この脆弱性を悪用されると攻撃者によって視覚的に確認できないコードを挿入され、意図せぬ動作が発生する可能性があるとされている。
この脆弱性の発見者はコンパイラなどの開発者に対して、言語仕様での双方向テキスト制御文字の禁止、コンパイラ・インタプリタ・ビルドパイプラインでの双方向テキスト制御文字およびホモグリフ文字についてエラーや警告の表示、コードエディタとリポジトリフロントエンドでの双方向テキスト制御文字およびホモグリフ文字についての視覚的な記号や警告の表示を呼びかけている。
