• IT-Karriere:
  • Services:

Code-Verwaltung: Windows-Eigenheiten verursachen Lücken in Git

Ein bösartiges Git-Repository kann von Angreifern unter Umständen dazu genutzt werden, Code auf Client-Rechnern auszuführen. Diese und einige weitere Lücken sind auf Eigenheiten von Windows zurückzuführen und von Microsoft gefunden worden.

Artikel veröffentlicht am ,
Microsoft hat einige spezielle Fehler in Git gefunden.
Microsoft hat einige spezielle Fehler in Git gefunden. (Bild: VESA MOILANEN/AFP via Getty Images)

Das Open-Source-Projekt Git hat eine Reihe von Sicherheitslücken in seiner Software zur Versionskontrollverwaltung behoben. Die Lücken wurden laut der Mitteilung allesamt von Microsofts Security Response Center (MSRC) gefunden und anschließend durch das Git-Team mit Updates für die aktuell unterstützten Versionen behoben.

Stellenmarkt
  1. Haufe Group, Freiburg
  2. DECATHLON Deutschland SE & Co. KG, Plochingen

Die wohl schwerwiegendste der Lücken (CVE-2019-1350) ermöglicht unter bestimmten Umständen das Ausführen von Code auf den Rechnern mit Git als Client. Dafür müssten Angreifer die Submodule-URL eines Repositorys derart manipulieren, dass dort auf bestimmte Art und Weise Kommandos versteckt werden, wie etwa SSH. Zusätzlich dazu müssten die Git-Nutzer für einen erfolgreichen Angriff auch noch dazu gebracht werden, das derart manipulierte Repository zu klonen. Die Gefahr eines Angriffs ist also vergleichsweise gering.

Lücken wegen Windows-Eigenheiten

Interessant an dieser und den weiteren Sicherheitslücken ist jedoch, dass sie alle auf bestimmte Spezifika das Windows-Betriebssystems zurückzuführen sind, die sich so auf Linux und weiteren Unix-artigen Systemen nicht finden. Dazu gehören etwa Zeichen wie das Backslash, das in Windows zur Trennung in Pfadangaben genutzt wird, in Unix-artigen Systemen aber als Zeichen in Dateinamen erlaubt ist.

Zwar unterstützt Git einige dieser Eigenarten schon länger, aber offenbar nicht alle. So kann eine der weiteren Lücken (CVE-2019-1351) ausgenutzt werden, um Schreibzugriff außerhalb des eigentlichen Arbeitsverzeichnisses zu erlangen, da Windows-Pfade eben nicht wie bisher angenommen nur ASCII-Zeichen für Laufwerksnamen erlauben, sondern auch Unicode-Zeichen. Der Pfad ä:\tschibät.sch ist unter Umständen also auch gültig.

Golem Akademie
  1. IT-Sicherheit für Webentwickler
    31. Mai - 1. Juni 2021, online
  2. Data Engineering mit Apache Spark
    27.-28. September 2021, online
Weitere IT-Trainings

Dem Werkzeug Git fehlten bisher außerdem Informationen über Spezifika von NTFS, was zum Überschreiben von Daten führen konnte, und beim Ausführen von Git im Windows-Subsystem für Linux (WSL) waren die NTFS-Schutzmechanismen nicht aktiviert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Meistgelesen
  1. Fotosammlung einscannen
    Buenos Dias aus dem Homeoffice
  2. Weltraumschrott
    Chinesische Raketenstufe ist ins Meer gestürzt
  3. Widerspruch im Team
    Tesla gibt Elon Musks Übertreibung beim autonomen Fahren zu
  4. Fujifilm X-E4 im Test
    Träumchen für ambitionierte Foto-Einsteiger
  5. Microsoft
    Windows 10X wird erneut verschoben
Anzeige
Spiele-Angebote
  1. 19,49€
  3. für PC, PS4/PS5, Xbox und Switch
  4. 25,99€
Kommentarübersicht
Re: Ätschibätsch
gaym0r 13. Dez 2019

Versteh ich dich richtig? Du wunderst dich wer darauf kommt, Windows so zu entwickeln...

Folgen Sie uns
       
Tynker Hifive Inventor - Fazit

Tynker Hifive Inventor - Fazit Video aufrufen
Arbeit
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden
ERP
Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock

    Elektroauto
    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme
    1. Themen
    2. A
    3. B
    4. C
    5. D
    6. E
    7. F
    8. G
    9. H
    10. I
    11. J
    12. K
    13. L
    14. M
    15. N
    16. O
    17. P
    18. Q
    19. R
    20. S
    21. T
    22. U
    23. V
    24. W
    25. X
    26. Y
    27. Z
    28. #
     
     
      •  /