Apple、「Xcode 9」でclone時に任意のコードが実行出来てしまうGitの脆弱性を修正。

スポンサーリンク

 Appleが「Xcode 9」でclone時に任意のコードが実行出来てしまうGitの脆弱性を修正しています。詳細は以下から。

Xcodeのアイコン

 Appleは現地時間2017年09月19日、iOS 11やwatchOS 4, macOS 10.13, tvOS 11のSDKを同梱した「Xcode 9」を開発者向けに公開しましたが、同バージョンではGitの”ssh://”URLハンドリングに発見されたshellコマンドインジェクションを利用し、clone時に任意のコードが実行できてしまう脆弱性”CVE-2017-1000117“およびSVNの”CVE-2017-9800“が修正されています。

Apple release Xcode 9

Git

  • Available for: macOS Sierra 10.12.6 or later
  • Impact: Checking out a maliciously crafted repository may lead to arbitrary code execution
  • Description: An ssh:// URL scheme handling issue was addressed through improved input validation.
  • CVE-2017-1000117

About the security content of Xcode 9 – Apple Support

 CVE-2017-1000117はドイツのセキュリティ研究者joernchenさんにより発見され、2017年8月10日にdiscloseされていたため、macOSでは修正まで約40日かかったことになり一部のセキュリティ研究者らはAppleを非難しているようですが、

とりあえず、AppleのGitをHomebrew版に切り替えた方や以下のリポジトリをcloneして「うんこもりもり」と表示されてしまう方はXcodeをアップデートすることをお勧めします。

Xcodeで「うんこもりもり」

git clone --recursive https://github.com/greymd/CVE-2017-1000117.git

コメント

  1. 匿名 より:

    ビルド番号変わらないからGM seedの時には治ってた?