CVE-2021-42694

Versões da Especificação Unicode até a 14.0

Foi detectada uma falha nas definições de caracteres da Especificação Unicode. A especificação permite que um invasor crie identificadores de código-fonte, como nomes de funções, utilizando homóglifos que se apresentam visualmente idênticos a um identificador alvo. Os invasores podem aproveitar isso para injetar código por meio de definições de identificadores maliciosos em dependências de software upstream invocadas de forma enganosa em software downstream. Essa falha pode afetar aplicativos que implementam suporte ao Padrão Unicode, permitindo que um invasor produza identificadores de código-fonte usando caracteres homógrafos que se parecem visualmente com um identificador alvo, mas são distintos dele.

Para as versões da Especificação Unicode até a 14.0, considere implementar as medidas de mitigação fornecidas na Norma Técnica Unicode nº 39, Mecanismos de Segurança Unicode, para resolver o problema do uso de caracteres homógrafos para injetar definições de identificadores adversários. Como solução temporária, os desenvolvedores podem revisar seu código para detectar e impedir o uso de caracteres homógrafos em identificadores de código-fonte. Além disso, restringir o uso de texto internacional que possa ser afetado por esse problema pode ajudar a minimizar o risco de exploração até que uma solução mais permanente seja implementada. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.