Уязвимость в Homebrew позволяла делать случайный код на компах юзеров — анонсы на Tproger

Уязвимость в Homebrew позволяла делать случайный код на компах юзеров — анонсы на Tproger

Поделиться

Спец по кибербезопасности из Стране восходящего солнца под ником RyotaK нашёл критичную уязвимость в пакетном менеджере Homebrew. Она позволяла злодеям употреблять пользующийся популярностью инструмент для выполнения хоть какого кода на компах жертв.

«Дыру» нашли в официальном репозитории Homebrew Cask. Эксплуатируя её, хакеры могли внедрять случайный код в контейнер, опосля что автоматом соединять воединыжды его.

Это [объединение] происходит из-за препядствия в зависимости git_diff деяния GitHub review-cask-pr, которое употребляется для синтаксического анализа различий в pull-запросе для проверки. Синтаксический анализатор можно одурачить, и он стопроцентно проигнорирует вредные строчки, что приведет к удачному одобрению вредного pull-запроса.

Homebrew

Создатели Homebrew объявили о удалении автоматического объединения кода в контейнере на GitHub. Совместно с тем они отключили и удалили действие review-cask-pr из всех уязвимых репозиториев.

Homebrew — один из самых фаворитных пакетных менеджеров. Употребляется юзерами macOS и Linux. Написан он на языке Ruby, а распространяется как свободное программное обеспечение с открытым кодом.

Источник: SecurityLab

Источник: tproger.ru

admin

You must be logged in to post a comment