GitHub likwiduje kilka dużych podatności wypatrzonych przez Google
GitHub to serwis znany nie tylko programistom - miliony użytkowników pobierają z niego codziennie aplikacje. Dzięki programowi Google udało się zlikwidować kilka niebezpiecznych luk, które zagrażały wszystkim.
Luki w GitHubie zostały wykryte przez Felixa Wilhelma, biorącego udział w sponsorowanej przez Google akcji Project Zero. Podatności te umożliwiały osobom z zewnątrz wstrzykiwanie złośliwego kodu do komend GitHub Actions - jest to proces automatyzacji przepływu kodu, stworzony w celu ułatwienia życia deweloperom. W ten sposób można było infekować kod, a programista mógłby tego nie spostrzec. Microsoft zlikwidował owe podatności dwa tygodnie temu i w chwili obecnej nie są one już groźne. Co interesujące, likwidacja nastąpiła dokładnie 104 dni po ich wykryciu.
Co zajęło Microsoftowi tyle czasu? Były to problemy natury technicznej, związane z samym kodem, a konkretnie - zmiennymi uruchamianymi po wykonaniu określonych komend. Pisalismy o tym 3 listopada: "Specjalista z Google Project Zero przyznał, że nie wie, jak można tę lukę załatać. Sposób, w jaki zostały zaimplementowane akcje, jest od podstaw wadliwy. Można próbować zmienić składnię i wyłączyć część poleceń, ale na dłuższą metę trzeba odizolować wykonywanie akcji od reszty platformy."
