ช่องโหว่บนไคลเอนต์ของ Git หลายตัวบน OS X และวินโดวส์ทำให้การโคลนจาก repository ที่มุ่งร้ายสามารถรันโค้ดบนเครื่องของเหยื่อได้ ตอนนี้มีผลกับ OS X และวินโดวส์เท่านั้น เนื่องจากใช้ระบบไฟล์ที่ไม่สนใจตัวใหญ่หรือตัวเล็กใน ภาษาอังกฤษและการแปลงค่า unicode
ช่องโหว่นี้อาศัยการโคลนโฟลเดอร์ .Git (G ตัวใหญ่) ทำให้บนระบบไฟล์ที่ไม่สนตัวใหญ่ตัวเล็กจะวางโฟลเดอร์ ทับโฟลเดอร์เดิมของ Git ไป อีกส่วนหนึ่งคือแนวทางการแปลง unicode ของระบบไฟล์ HFS+ ที่ไม่สนใจ unicode บางตัว ทำให้แฮกเกอร์สามารถสร้างโฟลเดอร์เช่น .g\u200cit แล้วยังวางไฟล์ทับโฟลเดอร์ .git อยู่ดี
Git ทุกสายนับแต่ 1.8, 1.9, 2.0, 2.1, และ 2.2 รวมถึงไลบรารี JGit และ libgit2 ออกเวอร์ชั่นแก้บั๊กนี้หมดแล้ว ทุกคนควรรีบอัพเดต โดยเฉพาะคนที่ชอบไปโคลนซอร์สโค้ดแปลกๆ มาดูเล่น
ที่มา - Git Blame, GitHub
Git, Security




อ่านต่อ...