Der offizielle Git-Client und jede verwandte Software, die mit Git-Repositories interagiert, weist eine kritische Sicherheitslücke auf (CVE-2014-9390), die Angreifern das Ausführen von Schadcode erlaubt. Dazu zählen auch GitHub für Windows und Mac, wie es in einer Sicherheitsmeldung heißt. Da es sich um eine clientseitige Schwachstelle handelt, sind github.com und GitHub Enterprise nicht direkt betroffen.
Angreifer können die Lücke ausnutzen, indem sie manipulierten Code in Projekten auf GitHub einschleusen. Ein speziell präparierter Git-Tree führt bei groß- und kleinschreibungsunabhängigen Dateisystemen wie NTFS und FAT unter Windows oder HFS+ unter Mac OS dazu, dass die anfälligen Git-Clients ihre eigene Konfigurationsdatei beim Codeabgleich aus einem Repository überschreiben. In der Folge können Angreifer so schlimmstenfalls die Kontrolle über den Rechner übernehmen und beliebige Befehle ausführen. Linux-Clients sind nicht betroffen, wenn sie in einem groß- und kleinschreibungsabhängigen Dateisystem laufen.
Inzwischen werden schädliche Git-Trees, die die Schwachstelle ausnutzen, in auf github.com gehosteten Repositories automatisch blockiert. Außerdem haben die Site-Betreiber alle Inhalte auf Schadcode geprüft, der vor der Entdeckung der Schwachstelle möglicherweise hochgeladen wurde. Nutzer sollten aber weiterhin vorsichtig sein, wenn sie auf Git-Repositories zugreifen, die an anderer Stelle gehostet werden.
Von GitHub für Windows und GitHub für Mac sind bereits aktualisierte Versionen erschienen, die das Sicherheitsloch in der Desktop-Anwendung selbt und dem zugehörigen Git-Kommandozeilen-Client stopfen. Es wird empfohlen, die Git-Clients schnellstmöglich zu aktualisieren. Auch wenn Linux-Nutzer selbst nicht betroffen sind, sollten Hosting-Services, deren Nutzer von Windows- oder Mac-OS-Systemen auf ihre Dienste zugreifen, ebenfalls die jüngsten Git-Versionen installieren, um ihre Anwender zu schützen.
Dazu hat das Git-Core-Team Wartungsupdates für alle aktuellen Git-Versionen (1.8.5.6, 1.9.5, 2.0.5, 2.1.4 und 2.2.1) veröffentlicht. Git for Windows (alias MSysGit) liegt in Version 1.9.5 vor. Die beiden führenden Git-Bibliotheken libgit2 und JGit haben ebenfalls Updates mit einem Fix bereitgestellt. Drittanbieter-Software, die diese Bibliotheken nutzen, sollte ebenfalls aktualisiert werden.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…
Die Anzeigen richten sich an IT-Teams und Administratoren. Ziel ist der Zugriff auf IT-Systeme.