ช่องโหว่บนไคลเอนต์ของ Git หลายตัวบน OS X และวินโดวส์ทำให้การโคลนจาก repository ที่มุ่งร้ายสามารถรันโค้ดบนเครื่องของเหยื่อได้ ตอนนี้มีผลกับ OS X และวินโดวส์เท่านั้น เนื่องจากใช้ระบบไฟล์ที่ไม่สนใจตัวใหญ่หรือตัวเล็กในภาษาอังกฤษและการแปลงค่า unicode
ช่องโหว่นี้อาศัยการโคลนโฟลเดอร์ .Git
(G ตัวใหญ่) ทำให้บนระบบไฟล์ที่ไม่สนตัวใหญ่ตัวเล็กจะวางโฟลเดอร์ทับโฟลเดอร์เดิมของ Git ไป อีกส่วนหนึ่งคือแนวทางการแปลง unicode ของระบบไฟล์ HFS+ ที่ไม่สนใจ unicode บางตัว ทำให้แฮกเกอร์สามารถสร้างโฟลเดอร์เช่น .g\u200cit
แล้วยังวางไฟล์ทับโฟลเดอร์ .git
อยู่ดี
Git ทุกสายนับแต่ 1.8, 1.9, 2.0, 2.1, และ 2.2 รวมถึงไลบรารี JGit และ libgit2 ออกเวอร์ชั่นแก้บั๊กนี้หมดแล้ว ทุกคนควรรีบอัพเดต โดยเฉพาะคนที่ชอบไปโคลนซอร์สโค้ดแปลกๆ มาดูเล่น
Comments
โคลนมาเต็มเลย >//<
avatar ช่างเข้ากับคอมเม้นต์
Jusci - Google Plus - Twitter
เคยคิดว่าถ้าคอมเม้นท์ใส่ emo ได้คงอ่านกัน คุยกันสนุกอีกไม่น้อย
^
^
that's just my two cents.
เช็คเวอร์ชั่นในเครื่องท่าน:
สำหรับ official client บน http://git-scm.com/download/mac นั้น ยังไม่มี installer ของเวอร์ชั่นปลอดภัย (2.2.1) ครับ ถ้าต้องการแพทช์ต้องดาวน์โหลดซอร์สไป build เอง (บนหน้าดาวน์โหลดเป็น 2.01. ส่วนบน brew เป็น 2.1.0 ) คิดว่ารออีกสักสามสี่วันเดี๋ยวเขาก็คงอัพเดท package ให้
บน Brew เป็น 2.2.1 แล้วครับ
ผม Update เมื่อเช้านี้เอง