Ошибки позволяли злоумышленнику выполнить произвольный код на целевой системе.
В начале апреля исследовательница Рэйчел Кролл (Rachel Kroll) обратила внимание общественности на то, что даже новейшие версии OS X уязвимы к кибератакам в связи с присутствием в ОС устаревшей версии системы управления исходным кодом Git 2.6.4. Данная редакция содержит уязвимости CVE‑2016‑2324 и CVE‑2016‑2315, позволяющие атакующему с доступом к Git-репозиторию, выполнить произвольный код на целевой системе.
Об уязвимостях стало известно в середине марта нынешнего года. Проблемы существуют из-за ошибки целочисленного переполнения в функции path_name(). С помощью специально сформированной команды git push или git pull злоумышленник может скомпрометировать систему. Для этого ему достаточно скрыть код в Git-репозитории и заманить туда жертву.
В начале мая текущего года компания Apple выпустила обновление пакета инструментов Xcode, содержащее исправленную версию Git 2.7.4. Релиз обновления Git состоялся еще 17 марта нынешнего года, однако Apple понадобилось полтора месяца для того, чтобы реализовать его в пакете OS X Command Line Tools.
Напомним, в конце марта этого года исследователь безопасности компании SentinelOne Педро Вилака (Pedro Vilaça) обнаружил опасную уязвимость в операционных системах OS X и iOS, позволяющую выполнить произвольный код на целевой системе и обойти защитную функцию Apple System Integrity Protection (SIP) в версии OS X El Capitan.
Никаких овечек — только отборные научные факты