therunofsummer
OS X命令行开发者工具包括一个老版本的Git源代码管理系统,它暴露Mac用户远程执行代码攻击。
Git客户端允许开发者与源代码库进行交互。它在Mac OS X上并未默认安装,但它包含在适用于Xcode的命令行工具包(Apple集成开发环境(IDE))中。
为OS X或iOS创建应用程序的软件开发人员可能使用Xcode并在他们的Mac上安装Apple的命令行工具软件包。这个软件包的最新版本包括Git版本2.6.4,在12月发布。
[更多阅读:如何从Windows PC中删除恶意软件]问题是Git 2.6.4有两个严重的漏洞,上个月公开披露。以CVE-2016-2315和CVE-2016-2324进行跟踪的漏洞影响Git上的客户端和服务器部署。在客户端,当使用大文件名或大量嵌套树来克隆存储库时,它们可能会导致远程执行代码
这些漏洞在3月17日发布的Git 2.7.4中修复,但一个月后苹果公司仍然没有发布其命令行工具包的更新。更糟糕的是,由于Git二进制文件作为系统级程序安装,因此在OS X El Capitan(10.11)上,用户无法轻松替换或更新根据系统管理专家Rachel Kroll的说法,它本身就是这样。这是因为苹果最新的OS X版本包含系统完整性保护(System Integrity Protection,SIP),这种机制可以防止修改/ usr和/ bin等特定受保护目录中的程序,即使拥有root权限也是如此。
“也许你想变得聪明并保护你用户通过禁用它,直到你可以找出别的东西,“Kroll在一篇博客文章中说。 “好吧,对不起。你也不能'chmod -x'至少让它不被使用。它也会失败。“
幸运的是,有一个解决方法,因为/ usr / bin / git只是到/Applications/Xcode.app/Contents/Developer/usr/bin的一个聪明的链接,它可以被修改。在后面的二进制文件上运行“chmod -x”会删除它的执行权限,并确保没有用户或程序意外运行它。然后,你必须等到Apple发布补丁版本作为未来命令行工具包的一部分。然而,Git对开发工具很重要,并且阻止它的使用可能会影响工作流程。
苹果没有立即回应有关修补公司分发的Git二进制文件的计划的问题。
“如果你依赖类似机器这个,我真的很抱歉,“Kroll说。 “我感觉到你。”
