GitHub Diff 취약점: 유니코드 문자 치환 악용
2025-05-17
curl 프로젝트 기여자인 James Fuller가 GitHub diff 뷰어의 취약점을 발견했습니다. 악의적인 공격자는 시각적으로 동일한 유니코드 문자로 ASCII 문자를 바꿔서 코드를 눈치채지 못하게 변경할 수 있습니다. 이로 인해 URL 조작 등 심각한 결과로 이어질 수 있습니다. GitHub diff 뷰어는 경고를 표시하지 않았지만 Gitea와 같은 다른 플랫폼에서는 이러한 변경 사항을 지적했습니다. curl 프로젝트는 악의적인 유니코드 문자를 감지하기 위한 CI 검사를 구현하고 UTF-8 시퀀스를 정리하여 대응했습니다. 이는 잠재적인 공격을 방지하기 위한 적극적인 코드 보안 조치의 필요성을 강조합니다.
개발
GitHub 취약점