Golem pur

Golem.de ohne Werbung nutzen
Mehrseitige Artikel auf einer Seite lesen
RSS-Volltext-Feed für Artikel
Ab 3,00 € pro Monat

Github Desktop & Atom: Signaturschlüssel von Github entwendet

Auf Github wurden Signaturschlüssel entwendet, die bald zurückgerufen werden. Betroffen sind Github Desktop und Atom für Mac, die den Dienst einstellen.

Artikel veröffentlicht am 31. Januar 2023, 16:44 Uhr, Moritz Tremmel

Github zieht Signaturen zurück (Bild: Github)

Unbekannte konnten auf Software-Repositorys und Schlüssel zum Signieren von Github-Software zugreifen. Davor warnt Github in einer Mitteilung. Betroffen sind demnach sowohl Github Desktop als auch der kürzlich eingestellte Editor Atom.

Die Signierschlüssel seien exfiltriert worden, allerdings seien sie mit einem Passwort geschützt und es gebe keine Hinweise auf eine böswillige Nutzung, heißt es bei Github: "Als Präventivmaßnahme werden wir die exponierten Zertifikate für die Anwendungen Github Desktop und Atom widerrufen. Durch das Widerrufen dieser Zertifikate werden einige Versionen von Github Desktop für Mac und Atom ungültig".

Github Desktop updaten, Atom downgraden

Nutzer sollten auf die aktuellsten Versionen von Github für Desktop wechseln, da folgende Versionen ab dem 2. Februar 2023 nicht mehr lauffähig sind: 3.1.2, 3.1.1, 3.1.0, 3.0.8, 3.0.7, 3.0.6, 3.0.5, 3.0.4, 3.0.3 und 3.0.2. Github Desktop unter Windows sei jedoch nicht betroffen, wird betont.

Beim Editor Atom werden die Versionen 1.63.1 und 1.63.0 ab dem 2. Februar nicht mehr funktionieren. Nutzer sollten auf eine vorherige Version downgraden, erklärt Github.

Apple-Developer-Zertifikat würde noch bis 2027 gelten

Bereits am 6. Dezember 2022 sollen Unbekannte die Repositorys von Atom und Github Desktop und weitere, veraltete Github-Organisationen durch einen kompromittierten Personal Access Token geklont haben. "Nach der Entdeckung am 7. Dezember 2022 widerrief unser Team sofort die kompromittierten Anmeldeinformationen und begann, mögliche Auswirkungen auf Kunden und interne Systeme zu untersuchen", schreibt Github.

Keines der betroffenen Repositorys soll Kundendaten enthalten haben. Allerdings hatten die Angreifer damit auch Zugriff auf die Signierschlüssel, weshalb Github diese nun zurückzieht. Zwei der Zertifikate seien ohnehin am 4. Januar 2023 abgelaufen beziehungsweise werden am 1. Februar 2023 ablaufen. Ein drittes, ein Apple-Developer-Zertifikat, läuft hingegen regulär erst im Jahr 2027 ab. Dieses werde am 2. Februar 2023 zurückgezogen. Eine mit neuen Zertifikaten signierte Github-Desktop-App für Mac habe man bereits am 4. Januar veröffentlicht, teilt Github mit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de

ohne Werbung
mit ausgeschaltetem Javascript
mit RSS-Volltext-Feed

Themenseiten:

Kommentarübersicht

Kommentieren

Artikel

BrouwUnie

Tesla verkauft Giga Bier zu einem stolzen Preis

Tesla hat, wie von Elon Musk versprochen, nun eine eigene Biermarke im Angebot und verkauft drei Flaschen für knapp 90 Euro.
Google

Ursache für Acropalypse-Lücke in Android seit Jahren bekannt

Eine wohl undokumentierte API-Änderung führte zu der Acropalypse-Sicherheitslücke. Das Problem dabei ist Google schon früh gemeldet worden.
Sprachmodelle

Warum ChatGPT so erfolgreich ist

KI-Insider Wie erklärt sich der Erfolg von ChatGPT, obwohl es nur eines von vielen Sprachmodellen und leistungsstarken KI-Systemen ist? Drei Faktoren sind ausschlaggebend.
Von Thilo Hagendorff

Schnäppchen, Rabatte und Top-Angebote

Die besten Deals des Tages

• Daily Deals • ASUS VG27AQ1A QHD/170 Hz 269€ • Crucial P3 Plus 1 TB 60,98€ • ViewSonic VX3218-PC-MHDJ FHD/165 Hz 227,89€ • MindStar: be quiet! Pure Base 600 79€ • Alternate: Corsair Vengeance RGB 64-GB-Kit DDR5-6000 276,89€ und Weekend Sale • Elex II 12,99€ • 3 Spiele kaufen, 2 zahlen [Werbung]

Themen
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
#