Apple устранила уязвимости в Git

Неточности разрешали преступнику выполнить произвольный код на целевой совокупности. В первых числах Апреля исследовательница Рэйчел Кролл (Rachel Kroll) обратила внимание общественности на то, что даже новейшие предположения OS X уязвимы к кибератакам в связи с присутствием в ОС устаревшей версии совокупности управления исходным кодом Git 2.6.4. Эта редакция содержит уязвимости CVE2016?2324 и CVE2016?2315, разрешающие атакующему с доступом к Git-репозиторию, выполнить произвольный код на целевой совокупности.

Об уязвимостях стало известно в середине марта нынешнего года. Неприятности существуют из-за неточности целочисленного переполнения в функции path_name(). Посредством намерено организованной команды git push либо git pull преступник может скомпрометировать совокупность. Для этого ему достаточно скрыть код в Git-репозитории и заманить в том направлении жертву.

В первых числах Мая этого года компания Apple выпустила обновление пакета инструментов Xcode, содержащее исправленную версию Git 2.7.4. Релиз обновления Git состоялся еще 17 марта нынешнего года, но Apple пригодилось полтора месяца чтобы реализовать его в пакете OS X Command Line Tools.

Напомним, в последних числах  Марта этого года исследователь безопасности компании SentinelOne Педро Вилака (Pedro Vilaca) нашёл страшную уязвимость в операционных совокупностях OS X и iOS, разрешающую выполнить произвольный код на целевой совокупности и обойти защитную функцию Apple System Integrity Protection (SIP) в версии OS X El Capitan.