GitHub Diff-Schwachstelle: Ausnutzung der Unicode-Zeichenersetzung
2025-05-17
Ein Curl-Mitwirkender, James Fuller, hat eine Schwachstelle im GitHub Diff-Viewer entdeckt. Böswillige Akteure könnten ASCII-Zeichen durch visuell identische Unicode-Zeichen ersetzen und so den Code unbemerkt ändern. Dies könnte zur Manipulation von URLs und anderen schwerwiegenden Folgen führen. Während der GitHub Diff-Viewer keine Warnung ausgab, zeigten andere Plattformen wie Gitea solche Änderungen an. Das Curl-Projekt reagierte mit der Implementierung von CI-Prüfungen zum Erkennen bösartiger Unicode-Zeichen und bereinigte UTF-8-Sequenzen. Dies unterstreicht die Notwendigkeit proaktiver Maßnahmen zur Code-Sicherheit, um potenzielle Angriffe zu verhindern.