Mac OS X уязвима перед атаками из-за с устаревшей версии Git

Александр Панасенко 19 Апреля 2016 - 17:13

...

Mac OS X уязвима перед атаками из-за с устаревшей версии Git

Независимая исследовательница Рейчел Крол (Rachel Kroll) сообщает, что даже новейшие версии Mac OS X уязвимы перед атаками злоумышленников. Распространяющийся в составе операционной системы Git по умолчанию поставляется в виде сильно устаревшей версии, которая содержит две опасные уязвимости.

Крол пишет, что в составе El Capitan поставляется устаревшая и проблемная версия Git — 2.6.4. Дело в том, что версии Git ниже 2.7.3 содержат две опасные уязвимости: CVE-2016-2324 и CVE-2016-2315. Обе они связаны с переполнение буфера хипа и позволяют атакующему удаленно исполнить произвольный код на компьютере жертвы. Злоумышленнику достаточно спрятать вредоносный код в своем репозитории, заманить туда жертву, и дело сделано, пишет xakep.ru.

Исследовательница указывает и на тот факт, что пользователь не сможет просто самостоятельно обновить Git или как-то его ограничить. Благодарить за это нужно новейшие методы защиты Apple. Изучив бэкэнд El Capitan Крол обнаружила, что /usr/bin/git является ссылкой и уводит в Xcode: /Applications/Xcode.app/Contents/Developer/usr/bin. Только через этот бинарник можно «запретить» уязвимый Git.

«Если вы зависите от такого компьютера, я искренне вам сочувствую», — пишет Крол. — «Этот пост написан в попытке заставить их [Apple] что-то предпринять, потому как данная проблема актуальна для многих важных для меня людей. Фактически они в заднице до тех пор, пока Apple не создаст и не предоставит им патч».

Разумеется, всегда остается вариант установить свежую версию Git вместо встроенной, но это не до конца решает проблему. Дело в том, что встроенная и уязвимая версия никуда из системы не исчезнет. К тому же, в некоторых приложениях путь /usr/bin/git может быть жестко прописан, так что система всё равно использует устаревшую версию, а пользователь даже не узнает об этом.

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Екатерина Быстрова 13 Мая 2026 - 12:59

Общее

Участники ЦИПР смогут пользоваться «Стрелкой» для навигации по площадке

Сервис «Стрелка» от ИТ-экосистемы «Лукоморье» стал официальным инструментом навигации для участников конференции ЦИПР. С его помощью посетители смогут ориентироваться на площадке, искать стенды и залы, а также планировать посещение сессий деловой программы.

Сервис объединяет интерактивную карту, расписание мероприятий, каталог спикеров и маршруты в одном интерфейсе.

Он будет доступен в мобильном приложении и чат-боте ЦИПР в мессенджерах, а также на интерактивных сенсорных панелях на территории выставки.

Помимо обычного поиска нужного стенда или зала, в «Стрелке» предусмотрены тематические маршруты.

Например, участник может выбрать трек «Кибербезопасность» или «Искусственный интеллект», после чего система покажет связанные стенды и предложит маршрут по ним. Цветовая индикация в сервисе синхронизирована с напольной навигацией на площадке.

В сервисе также можно смотреть мероприятия, связанные с выбранным треком, фильтровать их по датам, залам и спикерам, а затем собирать личное расписание. Для быстрого поиска предусмотрен поиск по ключевым словам.

Отдельно реализован каталог спикеров. При выборе имени выступающего система показывает все его сессии в деловой программе. Авторизованные пользователи смогут добавлять интересные выступления в избранное в личном кабинете.

«Стрелка» поможет и с подготовкой к обходу выставки. На ЦИПР будет 176 экспозиционных стендов, а общая выставочная площадь составит 17 650 кв. м, поэтому заранее понять, куда идти, может быть полезно. В сервисе у каждого стенда есть карточка с названием компании, номером, ссылкой на сайт и QR-кодом для доступа к аудиогиду.

Таким образом, участники смогут заранее составить маршрут по стендам и сессиям, а на самой площадке меньше времени тратить на поиск нужных точек.