Представители компании Apple выпустили обновленную версию Git, устранив уязвимости, которые подвергали пользователей кибератакам.
Об этом сообщает macdigger.ru.
Отметим, что проблема была обнаружена в устаревшей версии системы управления исходным кодом Git 2.6.4. В частности, в ней находились уязвимости CVE‑2016‑2324 и CVE‑2016‑2315, позволяющие атакующему с доступом к Git-репозиторию выполнить произвольный код на конкретной системе.
ЧИТАЙТЕ ТАКЖЕ: Хакеры настроили систему обновлений против ОС Windows
Проблемы заключаются в ошибке целочисленного переполнения в функции path_name(). При помощи специально сформированной команды git push или git pull хакер имел возможность скомпрометировать систему. Для этого было бы достаточно скрыть код в Git-репозитории и заманить в него жертву. Отметим, что у пользователя нет возможности самостоятельно обновить или ограничить Git в связи с наличием встроенной защиты System Integrity Protection (SIP), которая исключает возможность модернизации файлов и папок пользователем в определенных защищенных директориях. К примеру, такими директориями являются /usr и /bin.
В начале мая представители Apple выпустили обновление пакета инструментов Xcode, в котором содержится исправленная версия Git 2.7.4. Издание подчеркивает, что релиз обновления Git состоялся еще 17 марта, однако специалистам Apple понадобилось около полутора месяцев на его реализацию в пакете OS X Command Line Tools.
Ранее сообщалось, что об обнаружении данной уязвимости сообщила независимая исследовательница Рейчел Крол.