An issue was discovered in the character definitions of the Unicode Specification through 14.0. The specification allows an adversary to produce source code identifiers such as function names using homoglyphs that render visually identical to a target identifier. Adversaries can leverage this to inject code via adversarial identifier definitions in upstream software dependencies invoked deceptively in downstream software. NOTE: the Unicode Consortium offers the following alternative approach to presenting this concern. An issue is noted in the nature of international text that can affect applications that implement support for The Unicode Standard (all versions). Unless mitigated, an adversary could produce source code identifiers using homoglyph characters that render visually identical to but are distinct from a target identifier. In this way, an adversary could inject adversarial identifier definitions in upstream software that are not detected by human reviewers and are invoked deceptively in downstream software. The Unicode Consortium has documented this class of security vulnerability in its document, Unicode Technical Report #36, Unicode Security Considerations. The Unicode Consortium also provides guidance on mitigations for this class of issues in Unicode Technical Standard #39, Unicode Security Mechanisms.
** EN DISPUTA ** Se ha detectado un problema en las definiciones de caracteres de la especificación Unicode hasta la versión 14.0. La especificación permite que un adversario produzca identificadores de código fuente, tales como nombres de funciones, utilizando homoglifos que son visualmente idénticos a un identificador de destino. Los adversarios pueden aprovechar esto para inyectar código a través de definiciones de identificadores adversos en dependencias de software ascendente invocadas de forma engañosa en software descendente. NOTA: el Consorcio Unicode ofrece el siguiente enfoque alternativo para presentar este problema. Se observa un problema en la naturaleza del texto internacional que puede afectar a las aplicaciones que implementan la compatibilidad con el estándar Unicode (todas las versiones). A menos que se mitigue, un adversario podría producir identificadores de código fuente utilizando caracteres homogéneos que son visualmente idénticos pero distintos a un identificador de destino. De esta manera, un adversario podría inyectar definiciones de identificadores adversos en el software de entrada que no son detectados por los revisores humanos y son invocados engañosamente en el software de salida. El Consorcio Unicode ha documentado esta clase de vulnerabilidad de seguridad en su documento, Informe Técnico de Unicode #36, Consideraciones de Seguridad de Unicode. El Consorcio Unicode también proporciona orientación sobre las mitigaciones para esta clase de problemas en la Norma Técnica de Unicode #39, Mecanismos de Seguridad de Unicode.
