This post is also available in: Português
Nas últimas semana, a Apple anunciou uma atualização de segurança para o ambiente de desenvolvimento Xcode macOS, para resolver três vulnerabilidades do Git, incluindo uma que leva à execução arbitrária de código.
A primeira vulnerabilidade, rastreada como CVE-2022-29187, é uma variante da vulnerabilidade CVE-2022-24765, que afeta usuários em máquinas multiusuário, onde um cibercriminoso pode assumir o controle de uma aplicação afetada.
Os cibercriminosos podem explorar a falha para criar arquivos de configuração no diretório .git malicioso e, usando variáveis específicas, podem executar comandos arbitrários na máquina compartilhada.
A falha afeta todas as versões do Git anteriores a 2.37.1, 2.36.2, 2.35.4, 2.34.4, 2.33.4, 2.32.3, 2.32.3, 2.31.4 e 2.30.5. Com a versão mais recente do Xcode, a Apple atualizou o Git para a versão 2.32.3, que resolve vários problemas.
A versão mais recente do Xcode é a 14.1. A versão está disponível para o macOS Monterey 12.5 ou superior e resolve uma série de problemas, incluindo o bug CVE-2022-39253, que pode levar a vazamento de informações.
O problema existe por causa do comportamento do Git ao executar clones locais e pode ser explorado enganando uma vítima para clonar um repositório que contém um link simbólico apontando para informações confidenciais no sistema da vítima.
A terceira vulnerabilidade, rastreada como CVE-2022-39260, pode levar a execução arbitraria de código quando o Git shell – que suporta a funcionalidade push/pull do Git via SSH – é permitido como um shell de login.
Há ainda uma quarta vulnerabilidade, rastreada como CVE-2022-42797, abordada no Xcode 14.1, que afeta o servidor Xcode. O problema pode permitir que aplicativos maliciosos obtenham privilégios de root, que também foi resolvido com a atualização.
This post is also available in: Português
