Apple устранила уязвимости в Git, подвергавшие пользователей Mac риску кибератак
В начале апреля эксперт в области компьютерной безопасности Рэйчел Кролл обратила внимание общественности на то, что даже новейшие версии OS X уязвимы к кибератакам в связи с присутствием в ОС устаревшей версии системы управления исходным кодом Git 2.6.4. Данная редакция содержит уязвимости CVE?2016?2324 и CVE?2016?2315, позволяющие атакующему с доступом к Git-репозиторию, выполнить произвольный код на целевой системе.
Об уязвимостях стало известно в середине марта нынешнего года. Проблемы существуют из-за ошибки целочисленного переполнения в функции path_name(), отмечает Securitylab. С помощью специально сформированной команды git push или git pull злоумышленник может скомпрометировать систему. Для этого ему достаточно скрыть код в Git-репозитории и заманить туда жертву.
Проблема заключается в том, что пользователь не сможет самостоятельно обновить или как-то ограничить Git в связи с наличием интегрированной защиты System Integrity Protection (SIP), исключающей возможность модернизации папок и файлов пользователем в определенных защищенных директориях, например, /usr и /bin.
В начале мая текущего года компания Apple выпустила обновление пакета инструментов Xcode, содержащее исправленную версию Git 2.7.4. Релиз обновления Git состоялся еще 17 марта нынешнего года, однако Apple понадобилось полтора месяца для того, чтобы реализовать его в пакете OS X Command Line Tools.
Напомним, в конце марта этого года исследователь безопасности компании SentinelOne Педро Вилака обнаружил опасную уязвимость в операционных системах OS X и iOS, позволяющую выполнить произвольный код на целевой системе и обойти защитную функцию Apple System Integrity Protection (SIP) в версии OS X El Capitan.