Вредоносный репозиторий Git может позволить удаленно выполнить код

Вредоносный репозиторий Git может позволить удаленно выполнить код

Разработчики Git выпустили патч, исправляющий опасную уязвимость в коде этой распределенной системы управлениям версиями. Вышедшее обновление Git 2.17.1 исправляет бреши, получившие идентификаторы CVE-2018-11233 и CVE-2018-11235.

Из этих двух уязвимостей самой опасной считается CVE-2018-11235, так как она может позволить злоумышленнику создать вредоносный репозиторий Git, содержащий специально сконструированный подмодуль.

Таким образом, каждый раз, когда пользователь клонирует этот репозиторий, злоумышленник может выполнить код в системе. Это происходит из того, как клиенты Git обрабатывают вредоносный подмодуль.

Патч Git 2.17.1 должен исправить эту проблему.

Однако устранение данного бага происходит еще и на уровне серверного компонента Git. Патч на стороне сервера позволяет распознавать репозитории, содержащие вредоносные подмодули, и блокировать их загрузку пользователями.

Такие сервисы, как GitHub и Visual Studio Team (Microsoft) уже применили свежий патч.

«Самая большая часть работы была проделана по части детектирования вредоносных подмодулей. А сам патч, по сути, довольно тривиален», — сказал Джефф Кинг, сотрудник GitHub. — «Я написал патчи для самой Git, остальные же работали над libgit2, JGit и VSTS».

Брешь CVE-2018-11235 обнаружил эксперт Этьен Сталманс, который сообщил о ней через программу поиска багов, организованную GitHub.

Эдвард Томсон, работающий над Visual Studio Team Services, предоставил дополнительные инструкции, которые помогут понять, запускают ли пользователи уязвимые клиенты Git.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Сенатор США просит ФБР провести расследование в отношении FaceApp

Старший сенатор США от штата Нью-Йорк Чак Шумер призвал ФБР и Федеральную торговую комиссию (FTC) провести расследование в отношении набравшего популярность приложения FaceApp. Напомним, что FaceApp — детище российских разработчиков, в связи с чем Шумера беспокоят вопросы национальной безопасности.

В своем письме, направленном директору ФБР Кристоферу Рэю, Шумер утверждает, что «приложение FaceApp требует полный доступ к персональным фотографиям и данным». Такое положение вещей, по словам Сенатора, «создает риски для национальной безопасности и конфиденциальности миллионов граждан США».

Национальный комитет Демократической партии США (DNC) также разослал кандидатам в президенты предупреждение об опасности использования FaceApp, отмечая при этом, что приложение имеет российское происхождение.

Как передает Reuters, начальник службы безопасности DNC Боб Лорд потребовал, чтобы любой сотрудник, установивший FaceApp, немедленно его удалил.

Стоит отметить, что на сегодняшний день нет никаких доказательств передачи данных российским спецслужбам со стороны FaceApp.

Напомним, что на днях у исследователей в области кибербезопасности возникли вопросы к разработчикам приложения относительно степени конфиденциальности и защищенности данных пользователей. На большую часть вопросов мы ответили в этом материале.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru