• IT-Karriere:
  • Services:

Code-Verwaltung: Windows-Eigenheiten verursachen Lücken in Git

Ein bösartiges Git-Repository kann von Angreifern unter Umständen dazu genutzt werden, Code auf Client-Rechnern auszuführen. Diese und einige weitere Lücken sind auf Eigenheiten von Windows zurückzuführen und von Microsoft gefunden worden.

Artikel veröffentlicht am ,
Microsoft hat einige spezielle Fehler in Git gefunden.
Microsoft hat einige spezielle Fehler in Git gefunden. (Bild: VESA MOILANEN/AFP via Getty Images)

Das Open-Source-Projekt Git hat eine Reihe von Sicherheitslücken in seiner Software zur Versionskontrollverwaltung behoben. Die Lücken wurden laut der Mitteilung allesamt von Microsofts Security Response Center (MSRC) gefunden und anschließend durch das Git-Team mit Updates für die aktuell unterstützten Versionen behoben.

Stellenmarkt
  1. RIEDEL Communications GmbH & Co. KG, Butzbach
  2. VerbaVoice GmbH, München

Die wohl schwerwiegendste der Lücken (CVE-2019-1350) ermöglicht unter bestimmten Umständen das Ausführen von Code auf den Rechnern mit Git als Client. Dafür müssten Angreifer die Submodule-URL eines Repositorys derart manipulieren, dass dort auf bestimmte Art und Weise Kommandos versteckt werden, wie etwa SSH. Zusätzlich dazu müssten die Git-Nutzer für einen erfolgreichen Angriff auch noch dazu gebracht werden, das derart manipulierte Repository zu klonen. Die Gefahr eines Angriffs ist also vergleichsweise gering.

Lücken wegen Windows-Eigenheiten

Interessant an dieser und den weiteren Sicherheitslücken ist jedoch, dass sie alle auf bestimmte Spezifika das Windows-Betriebssystems zurückzuführen sind, die sich so auf Linux und weiteren Unix-artigen Systemen nicht finden. Dazu gehören etwa Zeichen wie das Backslash, das in Windows zur Trennung in Pfadangaben genutzt wird, in Unix-artigen Systemen aber als Zeichen in Dateinamen erlaubt ist.

Zwar unterstützt Git einige dieser Eigenarten schon länger, aber offenbar nicht alle. So kann eine der weiteren Lücken (CVE-2019-1351) ausgenutzt werden, um Schreibzugriff außerhalb des eigentlichen Arbeitsverzeichnisses zu erlangen, da Windows-Pfade eben nicht wie bisher angenommen nur ASCII-Zeichen für Laufwerksnamen erlauben, sondern auch Unicode-Zeichen. Der Pfad ä:\tschibät.sch ist unter Umständen also auch gültig.

Dem Werkzeug Git fehlten bisher außerdem Informationen über Spezifika von NTFS, was zum Überschreiben von Daten führen konnte, und beim Ausführen von Git im Windows-Subsystem für Linux (WSL) waren die NTFS-Schutzmechanismen nicht aktiviert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. Fusionsreaktor Iter
    Das Eine-Million-Teile-Puzzle in der entscheidenden Phase
  2. Bestandsdaten
    Justizministerin hält an Passwortherausgabe fest
  3. Sentry Mode
    Ist Teslas Wächtermodus illegal?
  4. Datenverkauf
    Avast überwacht den Browser und verkauft Nutzerdaten
  5. Cirrus7 Incus A300 im Test
    Lautloses Ryzen-Genie aus Deutschland
Anzeige
Hardware-Angebote
  4. 69,99€ (Vergleichspreis 103,99€)
Kommentarübersicht
Re: Ätschibätsch
gaym0r 13. Dez 2019 / Themenstart

Versteh ich dich richtig? Du wunderst dich wer darauf kommt, Windows so zu entwickeln...

Kommentieren

Folgen Sie uns
       
Blackmagic Pocket Cinema Camera 6k im Test

Die neue Pocket Cinema Camera 6k von Blackmagicdesign hat nur wenig mit DSLR-Kameras gemein. Die Kamera liefert Highend-Qualität, erfordert aber entsprechendes Profiwissen - und wir vermissen einige Funktionen.

Blackmagic Pocket Cinema Camera 6k im Test Video aufrufen
Indiegames Rundschau
Indiegames-Rundschau: Abenteuer zwischen Horror und Humor
Indiegames-Rundschau
Abenteuer zwischen Horror und Humor

Außerdische reagieren im Strategiespiel Phoenix Point gezielt auf unsere Taktiken, GTFO lässt uns schleichen und das dezent an Portal erinnernde Superliminal schmunzeln: Golem.de stellt die besten aktuellen Indiegames vor.
Von Rainer Sigl

  1. Indiegames-Rundschau Der letzte Kampf des alten Cops
  2. Indiegames-Rundschau Killer trifft Gans
  3. Indiegames-Rundschau Überleben im Dschungel und tausend Tode im Dunkeln
Rollenspiel
30 Jahre Champions of Krynn: Rückkehr ins Reich der Drachen und Drakonier
30 Jahre Champions of Krynn
Rückkehr ins Reich der Drachen und Drakonier

Champions of Krynn ist das dritte AD&D-Rollenspiel von SSI, es zählt zu den Highlights der Gold-Box-Serie. Passend zum 30. Geburtstag hat sich unser Autor den Klassiker noch einmal angeschaut - und nicht nur mit Drachen, sondern auch mit dem alten Kopierschutz gekämpft.
Ein Erfahrungsbericht von Benedikt Plass-Fleßenkämper

  1. Dungeons & Dragons Dark Alliance schickt Dunkelelf Drizzt nach Icewind Dale
Digitalisierung
Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /