Критическая уязвимость в Git позволяет выполнение произвольного кода на стороне клиента
Исследователи подчеркивают, что угрозе безопасности подвержены все актуальные версии Windows и Mac.
Разработчикам, использующим официальный клиент Git и связанное с ним программное обеспечение, настоятельно рекомендуется установить устраняющее критическую уязвимость обновление безопасности. Брешь позволяет потенциальным злоумышленникам выполнить произвольный код на клиентской системе.
Как сообщается, проблема затрагивает все актуальные версии Git для Windows и Mac, а также сопутствующее программное обеспечение, предназначенное для работы с Git-репозиториями. Об этом сообщается в официальном уведомлении разработчиков в блоге github.com.
«Атакующий может сформировать вредоносное дерево Git, которое вынудит клиентское приложение перезаписать свой файл настроек .git/config в случае, если жертва попытается клонировать или просто проверить соответствующий репозиторий, - поясняют эксперты. – Это способно привести к выполнению произвольного кода на машине клиента».
В уведомлении также отмечается, что уязвимое ПО, работающее на базе OS X (с файловой системой HFS+) или любой версии Microsoft Windows (с файловой системой NTFS или FAT) подвержены данной угрозе. Версии для Linux остаются в безопасности, при условии, что работают в регистрозависимой файловой системе.
Стоит также отметить, что разработчики не уточнили, были ли зафиксированы факты эксплуатации данной бреши злоумышленниками. Вместе с тем, пользователей заверили, что использование github.com по-прежнему безопасно, поскольку данные репозитории используют механизмы обнаружения и блокирования вредоносного содержимого.
Большой брат следит за вами, но мы знаем, как остановить его