Ross Anderson

**Nome do software vulnerável e versões afetadas** Versões da Especificação Unicode anteriores à 14.0 Jira Service Management (versões afetadas não especificadas) Jira Software (versões afetadas não especificadas) Jira Work Management (versões afetadas não especificadas) **Descrição** O problema está relacionado ao Algoritmo Bidirecional da Especificação Unicode, que pode ser explorado para introduzir vulnerabilidades direcionadas de forma invisível aos revisores humanos. Isso é feito através da criação de código-fonte que gera uma lógica diferente da ordem lógica dos tokens processados por compiladores e interpretadores. O Unicode Consortium documentou essa classe de vulnerabilidade e fornece orientações sobre medidas de mitigação. A vulnerabilidade pode afetar aplicativos que implementam suporte ao Padrão Unicode e ao Algoritmo Bidirecional Unicode. Ela também é conhecida como ataque Trojan Source, que permite que um invasor codifique código-fonte para compiladores que aceitam Unicode, introduzindo vulnerabilidades que não são visíveis aos revisores humanos. **Recomendações** Para versões da Especificação Unicode anteriores à 14.0: Considere implementar as orientações sobre medidas de mitigação fornecidas pelo Unicode Consortium no Padrão Técnico Unicode nº 39, Mecanismos de Segurança Unicode, e no Anexo do Padrão Unicode nº 31, Identificador Unicode e Sintaxe de Padrão. Para Jira Service Management, Jira Software e Jira Work Management: No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

**Nome do software vulnerável e versões afetadas** Versões da Especificação Unicode até a 14.0 **Descrição** Foi detectada uma falha nas definições de caracteres da Especificação Unicode. A especificação permite que um invasor crie identificadores de código-fonte, como nomes de funções, utilizando homóglifos que se apresentam visualmente idênticos a um identificador alvo. Os invasores podem aproveitar isso para injetar código por meio de definições de identificadores maliciosos em dependências de software upstream invocadas de forma enganosa em software downstream. Essa falha pode afetar aplicativos que implementam suporte ao Padrão Unicode, permitindo que um invasor produza identificadores de código-fonte usando caracteres homógrafos que se parecem visualmente com um identificador alvo, mas são distintos dele. **Recomendações** Para as versões da Especificação Unicode até a 14.0, considere implementar as medidas de mitigação fornecidas na Norma Técnica Unicode nº 39, Mecanismos de Segurança Unicode, para resolver o problema do uso de caracteres homógrafos para injetar definições de identificadores adversários. Como solução temporária, os desenvolvedores podem revisar seu código para detectar e impedir o uso de caracteres homógrafos em identificadores de código-fonte. Além disso, restringir o uso de texto internacional que possa ser afetado por esse problema pode ajudar a minimizar o risco de exploração até que uma solução mais permanente seja implementada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.