Mac OS X уязвима перед атаками из-за с устаревшей версии Git

Александр Панасенко 19 Апреля 2016 - 17:13

...

Mac OS X уязвима перед атаками из-за с устаревшей версии Git

Независимая исследовательница Рейчел Крол (Rachel Kroll) сообщает, что даже новейшие версии Mac OS X уязвимы перед атаками злоумышленников. Распространяющийся в составе операционной системы Git по умолчанию поставляется в виде сильно устаревшей версии, которая содержит две опасные уязвимости.

Крол пишет, что в составе El Capitan поставляется устаревшая и проблемная версия Git — 2.6.4. Дело в том, что версии Git ниже 2.7.3 содержат две опасные уязвимости: CVE-2016-2324 и CVE-2016-2315. Обе они связаны с переполнение буфера хипа и позволяют атакующему удаленно исполнить произвольный код на компьютере жертвы. Злоумышленнику достаточно спрятать вредоносный код в своем репозитории, заманить туда жертву, и дело сделано, пишет xakep.ru.

Исследовательница указывает и на тот факт, что пользователь не сможет просто самостоятельно обновить Git или как-то его ограничить. Благодарить за это нужно новейшие методы защиты Apple. Изучив бэкэнд El Capitan Крол обнаружила, что /usr/bin/git является ссылкой и уводит в Xcode: /Applications/Xcode.app/Contents/Developer/usr/bin. Только через этот бинарник можно «запретить» уязвимый Git.

«Если вы зависите от такого компьютера, я искренне вам сочувствую», — пишет Крол. — «Этот пост написан в попытке заставить их [Apple] что-то предпринять, потому как данная проблема актуальна для многих важных для меня людей. Фактически они в заднице до тех пор, пока Apple не создаст и не предоставит им патч».

Разумеется, всегда остается вариант установить свежую версию Git вместо встроенной, но это не до конца решает проблему. Дело в том, что встроенная и уязвимая версия никуда из системы не исчезнет. К тому же, в некоторых приложениях путь /usr/bin/git может быть жестко прописан, так что система всё равно использует устаревшую версию, а пользователь даже не узнает об этом.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Яков Шпунт 21 Апреля 2026 - 09:19

Домашние пользователи Персональный VPN Анонимайзеры

Atomic Heart не запускается в России без VPN

Игра Atomic Heart, купленная в России через VK Play или Steam, у части пользователей перестала запускаться. Причиной, как сообщается, стали сбои в работе антипиратской системы Denuvo из-за проблем с подключением к управляющим серверам. В технической поддержке в качестве одного из вариантов решения рекомендовали использовать средства обхода блокировок.

О проблеме сообщил пользователь DTF, который не смог запустить купленную через VK Play копию Atomic Heart.

Как выяснилось, с аналогичными трудностями столкнулись и пользователи, купившие игру в Steam. Причиной стали ошибки в работе системы Denuvo Anti-Tamper.

По данным портала «Код Дурова», сложности с запуском могли возникнуть и у других игр, использующих защиту Denuvo. В частности, пользователи жаловались на проблемы с Pragmata. Однако в этом случае ситуация оказалась сложнее: в отличие от Atomic Heart, никаких сообщений об ошибке не появлялось.

В технической поддержке вендора рекомендовали изменить маршрутизацию трафика: «В связи с блокировками у провайдеров некоторые маршруты недоступны, что не позволяет вашей сети проложить маршруты до серверов в определённых локациях. К сожалению, с нашей стороны мы ничем не можем помочь, так как блокировка локальная. Попробуйте изменить маршрутизацию вашего трафика».

В VK Play также посоветовали использовать средства подмены сетевых адресов: «Для устранения проблемы рекомендуем попробовать запустить игру, используя альтернативный способ подключения к интернету, который позволяет изменить виртуальное местоположение компьютера».