Google anuncia bug de alta severidade no GitHub

Google anuncia bug de alta severidade no GitHub

A equipe do Project Zero do Google, dedicada a encontrar bugs de segurana em softwares desenvolvidos pela prpria empresa ou por terceiros, anunciou a descoberta de um bug classificado como sendo de “alta severidade” no GitHub, um popular sistema de controle de verso e repositrio de cdigo-fonte mantido pela Microsoft e usado por desenvolvedores e empresas em todo o mundo.

A falha est localizada em um recurso chamado workflow commands, que permite automatizar aes relacionadas a um fluxo de trabalho. Segundo Felix Wilhelm, engenheiro do Project Zero que relatou o problema, este recurso “extremamente vulnervel” injeo de comandos, e “fundamentalmente inseguro”, j que permitiria a um malfeitor executar cdigo remotamente em uma mquina vulnervel.

Felix afirma ter analisado repositrios de projetos populares no Github, e que “quase qualquer projeto com aes razoavelmente complexas vulnervel a esta categoria de bugs”.

Reprodu

Recentemente o Github criou um repositrio com 21 TB de cdigo-fonte no rtico para assegurar a preservao dos projetos mais populares. Foto: Github.

Prazo para correo

Como poltica padro, a equipe do Project Zero d aos responsveis por um software um perodo de 90 dias para corrigir uma vulnerabilidade detectada, com a divulgao pblica da falha apenas aps este prazo. A falha foi descoberta em 21 de julho, e o prazo de 90 dias para a correo expiraria em 18 de outubro.

No incio de outubro o Github desativou os comandos vulnerveis e enviou um alerta os usurios, avisando sobre uma vulnerabilidade “moderada” e pedindo que atualizassem seus fluxos de trabalho. Em 16 de outubro o servio recebeu do Google uma extenso do prazo, de mais 14 dias, para que desabilitasse todos os comandos.

Em 1 de novembro o Github entrou em contato com o Google solicitando uma nova extenso, desta vez de 48 horas, para que pudesse notificar os clientes sobre o problema e determinar uma “data limite” para a correo. Como isto no est de acordo com as polticas de divulgao do Project Zero, a extenso foi negada e a falha divulgada, junto com uma prova de conceito detalhando seu funcionamento.

Fonte: Neowin


Microsoft Google vulnerabilidade github falha de segurana

GarotoProdigio

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *