Windows用户在软件开发工具中的安全错误最高风险
现在是时候让开发人员更新其本地GIT装置后漏洞。
这两个缺陷中最糟糕的(CVE-2022-24765)具有允许攻击者执行任意命令的潜力。
使用Git用于Windows或在多用户机器上使用Git的开发人员最有风险,作为一个Github的咨询解释:
这种漏洞会影响在多用户机器上工作的用户,恶意演员可以创建一个.git在受害者当前工作目录上方共享位置的目录。例如,在Windows上,攻击者可以创建c:\。git \ config,这将导致在存储库之外发生的所有GIT调用以读取其配置值。
由于某些配置变量(例如core.fsmonitor)导致git执行任意命令,这可能会导致在共享计算机上工作时执行任意命令。”
建议软件开发人员将其系统升级到git v2.35.2为了防止潜在的攻击,这将依靠攻击者首先在目标系统上获得写入访问。
使用git的开发人员Linux或MacOS也受到CVE-2022-24765缺陷的影响,尽管程度较小。在所有情况下进行修补是建议的行动方案,但除此之外,吉特布(Github)的咨询公司(GitHub Advisory)详细介绍了各种缓解。
第二个漏洞(CVE-2022-24767)仅限于Windows卸载器的git。与以前的缺陷一样,正如GitHub的咨询所解释的那样,某种程度的差异是潜在攻击的先决条件。
攻击将依靠种植恶意.dll目标系统上的文件。
建议用户更新到Windows v2.35.2的git但是,同样,许多临时缓解提供了可行的替代方法。
洛克希德·马丁(Lockheed Martin)的红色团队(Red Team)赋予了发现脆弱性的荣誉。
github为GIT存储库提供集中位置,因此在标记软件更新的需求中的作用。
你也许也喜欢研究人员通过SQL有效载荷刷卡的内部AWS凭证
