Apple lansează o actualizare care remediază ultimele vulnerabilități din Git

Compania Apple a lansat o actualizare de securitate pentru macOS Xcode cu scopul de a remedia trei vulnerabilități Git, inclusiv una care permite executarea de cod arbitrar.

Prima vulnerabilitate, CVE-2022-29187, o variantă a CVE-2022-24765, afectează utilizatorii de pe mașini multi-user, unde o persoană rău intenționată poate crea un director .git într-o locație partajată în afara directorului de lucru curent.

Un atacator ar putea exploata vulnerabilitatea pentru a crea fișiere de configurare în directorul .git malițios și, prin utilizarea unor variabile specifice, ar putea obține executarea de comenzi arbitrare pe mașina partajată.

Vulnerabilitatea afectează toate versiunile Git anterioare versiunilor 2.37.1, 2.36.2, 2.35.4, 2.34.4, 2.33.4, 2.32.3, 2.31.4 și 2.30.5. Odată cu cea mai recentă versiune de Xcode, Apple a actualizat Git la versiunea 2.32.3, care remediază multe dintre acestea.

În curs de lansare pentru macOS Monterey 12.5 și  versiunile ulterioare ca versiune 14.1, cea mai recentă versiune Xcode remediază CVE-2022-39253, o vulnerabilitate care ar putea duce la scurgerea de informații.

Urmărită ca CVE-2022-39260, cea de-a treia vulnerabilitate Git remediată în Xcode ar putea duce la executarea arbitrară a codului atunci când git shell – care suportă funcționalitatea push/pull a Git prin SSH – este permisă ca shell de autentificare.

O a patra vulnerabilitate remediată în Xcode 14.1 afectează serverul IDE Xcode. Regăsită ca CVE-2022-42797, vulnerabiliatea ar putea permite atacatorilor să obțină privilegii de root.

Sursă: https://www.securityweek.com/apple-rolls-out-xcode-update-patching-git-vulnerabilities