Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Versión obsoleta de Git en OS X pone en riesgo a los desarrolladores
Las herramientas de línea de comandos para desarrolladores de OS X incluyen una versión antigua del sistema de gestión de código fuente de Git que expone a los usuarios de Mac a ataques de ejecución remota de código.
El cliente Git permite a los desarrolladores interactuar con repositorios de código fuente. No está instalada por defecto en Mac OS X, pero se incluye en el paquete de herramientas de línea de comandos para Xcode, el entorno de desarrollo integrado (IDE) de Apple.
Los desarrolladores de software que crean aplicaciones para OS X o iOS son propensos a hacer uso de Xcode y a tener el paquete de herramientas de línea de comandos de Apple instalado en sus Mac. La última versión de este paquete incluye la versión 2.6.4 de Git, lanzada en diciembre.
El problema es que Git 2.6.4 tiene dos vulnerabilidades graves que se dieron a conocer públicamente el mes pasado. Las vulnerabilidades, identificadas como CVE-2016-2315 y CVE-2016-2324, afectan tanto a los desarrollos de clientes y servidores de Git. En el lado cliente, podrían provocar la ejecución remota de código cuando se clona un repositorio con nombres de archivos largos o con un gran número de árboles anidados.
Las vulnerabilidades fueron corregidas en Git 2.7.4, lanzado el 17 de marzo, pero un mes más tarde Apple aún no ha publicado una actualización de su paquete de herramientas de línea de comandos.
Lo que es peor, ya que el binario Git se instala como un programa a nivel de sistema, en OS X El Capitán (10.11) los usuarios no pueden reemplazar o actualizar ellos mismos el paquete fácilmente, según el experto en administración de sistemas Rachel Kroll. Esto se debe a la última versión de OS X de Apple incluye la protección de integridad de sistema (SIP), un mecanismo que impide la modificación de los programas ubicados en determinados directorios protegidos como /usr y /bin, incluso con privilegios de root.
Los usuarios tendrán que esperar a que Apple lance una versión parchada como parte de un futuro paquete de herramientas de línea de comandos. Sin embargo, Git es importante para las herramientas de desarrollo y no hacer uso de este podría afectar a los flujos de trabajo.
