Eine aufgedeckte Sicherheitslücke im Git-Client ermöglicht es Unberechtigten, mittels manipuliertem Code über eingespielte Projekte Zugriff auf den Rechner zu bekommen. Obschon die Code-Verwaltung von Github den betreffenden Code für weitere Uploads gesperrt hat, ist nicht auszuschließen, dass bereits auf anderen Git-Repositories die Sicherheitslücke ausgenutzt wurde.
Die Schäden sind noch nicht absehbar – Linux bleibt clean
Github berichtet, dass ein speziell präparierter Git-Tree auf Dateisystemen bei Apples HFS+ und Microsofts NTFS oder FAT dazu führen könnte, dass die genannten Git-Clients ihre eigenen Konfigurationsdateien beim Abgleichen des schadhaften Codes aus einem dieser Git-Repositories überschreiben – Befehle können dann ohne Weiteres ausgeführt werden. Welche Schäden bereits insgesamt angerichtet wurden, lässt sich dem Bericht soweit nicht entnehmen. Linux-User sind offenbar von dieser Sicherheitslücke nicht betroffen.
Die Aktualisierung steht bereits zur Verfügung. Kleines Plus: Das Sicherheitsupdate kommt zudem mit einer grafischen Neuerung der Kommandozeilen daher. Die Versionen 1.8.5.6, 1.9.5, 2.0.5, 2.1.4 und 2.2.1 haben den Fehler bereits behoben.