Un bug di sicurezza nel client Git ufficiale per Windows e Mac potrebbe consentire l'esecuzione di comandi non autorizzati sui sistemi degli utenti. Fortunatamente, una patch è già disponibile e tutti gli utenti devono aggiornarsi il prima possibile per evitare possibili attacchi.

Questo recente bug costituisce una minaccia così grave perché dà accesso ai repository Git e influisce su tutte le versioni del client Git e su tutti i software compatibili. Particolare attenzione dovrebbe essere data durante la clonazione o l'accesso ai repository Git ospitati in posizioni dubbie perché è qui che potrebbe nascondersi il bug di sicurezza.

I sistemi operativi con file system senza distinzione tra maiuscole e minuscole sono quelli interessati. Il codice dannoso funziona facendo in modo che Git sovrascriva il proprio file.git / config quando il sistema sta clonando o estraendo un repository.

“La vulnerabilità riguarda i client compatibili con Git e Git che accedono ai repository Git in un file system senza distinzione tra maiuscole o minuscole. Un utente malintenzionato può creare un albero Git dannoso che causerà a Git di sovrascrivere il proprio file .git/config durante la clonazione o il checkout di un repository, portando a l'esecuzione arbitraria dei comandi nel computer client. I client Git in esecuzione su OS X (HFS +) o qualsiasi versione di Microsoft Windows (NTFS, FAT) sono sfruttabili attraverso questa vulnerabilità. I client Linux non sono interessati se vengono eseguiti in un filesystem con distinzione tra maiuscole e minuscole. ", Informa la dichiarazione ufficiale.

La buona notizia è che github.com è sicuro perché gli amministratori controllano sempre gli alberi nel codice sorgente quando vengono aggiunti. Inoltre, tutto il contenuto del repository è stato ricontrollato al fine di eliminare ogni possibile bug che potrebbe in qualche modo insinuarsi. Tuttavia, diffidare di posizioni di hosting dubbi perché la verifica della sicurezza è difettosa lì.

Abbiamo anche completato una scansione automatizzata di tutti i contenuti esistenti su github.com per cercare contenuti dannosi che potrebbero essere stati inviati al nostro sito prima che questa vulnerabilità fosse scoperta. Questo lavoro è un'estensione dei controlli di qualità dei dati che abbiamo sempre eseguito su repository inviati ai nostri server per proteggere i nostri utenti da dati Git malformati o dannosi.

Le versioni aggiornate di GitHub sono ora disponibili per il download per Windows e Mac. Tutti gli utenti sono invitati ad aggiornare per mantenere sicuri i propri sistemi.

LEGGI ANCHE: Windows XP è ora un obiettivo molto semplice per gli hacker, l'aggiornamento di Windows 10 è obbligatorio