
Un bug di sicurezza nel client Git ufficiale per Windows e Mac potrebbe consentire l'esecuzione di comandi non autorizzati sui sistemi degli utenti. Fortunatamente è già disponibile una patch e tutti gli utenti devono aggiornarla il prima possibile per evitare possibili attacchi.
Questo recente bug costituisce una minaccia così grave perché dà accesso ai repository Git e colpisce tutte le versioni del client Git e tutti i software compatibili. Particolare attenzione dovrebbe essere prestata durante la clonazione o l'accesso a repository Git che sono ospitati in posizioni dubbie perché è qui che potrebbe nascondersi il bug di sicurezza.
I sistemi operativi con file system senza distinzione tra maiuscole e minuscole sono quelli interessati. Il codice dannoso opera facendo sì che Git sovrascriva il proprio file .git/config quando il sistema sta clonando o estraendo un repository.
“La vulnerabilità riguarda i client Git e compatibili con Git che accedono ai repository Git in un filesystem senza distinzione tra maiuscole e minuscole o con la normalizzazione delle maiuscole. Un utente malintenzionato può creare un albero Git dannoso che farà sì che Git sovrascriva il proprio
.git/config
file durante la clonazione o il check out di un repository, portando all'esecuzione arbitraria di comandi nella macchina client. I client Git in esecuzione su OS X (HFS+) o qualsiasi versione di Microsoft Windows (NTFS, FAT) sono sfruttabili attraverso questa vulnerabilità. I client Linux non sono interessati se vengono eseguiti in un filesystem con distinzione tra maiuscole e minuscole", informa la dichiarazione ufficiale.
La buona notizia è che github.com è sicuro perché gli amministratori controllano sempre gli alberi nel codice sorgente quando vengono aggiunti. Inoltre, tutto il contenuto del repository è stato ricontrollato al fine di eliminare ogni possibile bug che potrebbe essersi in qualche modo insinuato. Tuttavia, fai attenzione ai luoghi di hosting dubbi perché la verifica della sicurezza è difettosa lì.
Abbiamo anche completato una scansione automatica di tutti i contenuti esistenti su
github.com
per cercare contenuti dannosi che potrebbero essere stati inviati al nostro sito prima che venisse scoperta questa vulnerabilità. Questo lavoro è un'estensione dei controlli sulla qualità dei dati che abbiamo sempre eseguito sui repository inviati ai nostri server per proteggere i nostri utenti da dati Git malformati o dannosi.
Le versioni aggiornate di GitHub sono ora disponibili per il download per finestre e Mac. Tutti gli utenti sono invitati ad aggiornare per mantenere i propri sistemi al sicuro.
LEGGI ANCHE: Windows XP è ora un bersaglio molto facile per gli hacker, l'aggiornamento di Windows 10 è obbligatorio