Apple устранила уязвимость Git, подвергавшую пользователей OS X хакерским атакам

Опубликовано: Суббота, 07 мая 2016 13:54

Представители компании Apple выпустили обновленную версию Git, устранив уязвимости, которые подвергали пользователей кибератакам.

Об этом сообщает macdigger.ru.

Отметим, что проблема была обнаружена в устаревшей версии системы управления исходным кодом Git 2.6.4. В частности, в ней находились уязвимости CVE‑2016‑2324 и CVE‑2016‑2315, позволяющие атакующему с доступом к Git-репозиторию выполнить произвольный код на конкретной системе.

ЧИТАЙТЕ ТАКЖЕ
Хакеры настроили систему обновлений против ОС Windows

Проблемы заключаются в ошибке целочисленного переполнения в функции path_name(). При помощи специально сформированной команды git push или git pull хакер имел возможность скомпрометировать систему. Для этого было бы достаточно скрыть код в Git-репозитории и заманить в него жертву. Отметим, что у пользователя нет возможности самостоятельно обновить или ограничить Git в связи с наличием встроенной защиты System Integrity Protection (SIP), которая исключает возможность модернизации файлов и папок пользователем в определенных защищенных директориях. К примеру, такими директориями являются /usr и /bin.

В начале мая представители Apple выпустили обновление пакета инструментов Xcode, в котором содержится исправленная версия Git 2.7.4. Издание подчеркивает, что релиз обновления Git состоялся еще 17 марта, однако специалистам Apple понадобилось около полутора месяцев на его реализацию в пакете OS X Command Line Tools.

Git 2

Ранее сообщалось, что об обнаружении данной уязвимости сообщила независимая исследовательница Рейчел Крол.