Schwachstelle in Datei-Upload-System von Github entdeckt
Quelle: Depositphotos

Schwachstelle in Datei-Upload-System von Github entdeckt

Cyberkriminelle können Github-Kommentare ausnutzen, um gefälschte Dateien hochzuladen. Die Download-Links erscheinen vertrauenswürdig, beispielsweise von Microsoft. Derzeit gibt es keine Lösung für Entwickler.
23. April 2024

     

Sicherheitsforscher haben eine Schwachstelle im Datei-Upload-System von Github entdeckt. Wenn ein Nutzer eine Datei in einen Github-Kommentar hochlädt, wird automatisch ein Download-Link generiert, selbst wenn der Kommentar nie gepostet wird. Dieser Link beinhaltet den Namen seines Eigentümers und des Repositorys. Dadurch kann die Zugehörigkeit zu einer vertrauenswürdigen Quelle vorgetäuscht werden. URLs der Malware-Installationsprogramme würden zum Beispiel darauf hindeuten, dass sie zu Microsoft gehören, so "Mspoweruser" unter Bezug auf "Bleepingcomputer". Doch im Quellcode des Projekts gäbe es keinen Hinweis auf das Unternehmen.

Offenbar wird die Schwachstelle bereits aktiv zur Verbreitung von Malware ausgenutzt, wie "Bleepingcomputer" berichtet.


Während sich die meisten gefundenen Malware-Aktivitäten auf die Microsoft-Github-URLs beziehen, könnte dieser "Fehler" mit jedem öffentlichen Repository auf Github missbraucht werden, so das Techportal weiter. "So könnte ein Bedrohungsakteur beispielsweise eine ausführbare Malware-Datei in das Nvidia-Treiber-Installationsprogramm hochladen, welche vorgibt, ein neuer Treiber zu sein, der Probleme in einem Spiel behebt", schreibt "Bleepingcomputer. Alternativ könnte er eine Datei in einem Kommentar zum Google Chromium-Quellcode hochladen und vorgeben, es handle sich um eine neue Webbrowser-Testversion.

Leider gibt es für Entwickler derzeit keine andere Möglichkeit, den Missbrauch zu verhindern, als die Kommentare komplett zu deaktivieren. (cma)


Weitere Artikel zum Thema

Github Copilot Enterprise ab sofort verfügbar

29. Februar 2024 - Github lädt mit Copilot Enterprise nun auch Business-Kunden ins KI-Zeitalter der Programmierung ein. Der KI-Assistent unterstützt bei der Code-Analyse, beantwortet Fragen in natürlicher Sprache und beschleunigt das Bearbeiten von Pull Requests.

Github Copilot Chat ab sofort auch für individuelle User verfügbar

22. September 2023 - Nachdem Microsofts KI-basierter Programmierassistent Github Copilot Chat bis anhin nur für Firmenkunden zugänglich war, steht die Public Beta jetzt auch individuellen Anwendern zur Verfügung.

Microsoft ergänzt Github Copilot mit interaktivem Chatbot

24. Juli 2023 - Aktuell als limitierte Beta verfügbar, erlaubt Github Copilot Chat Entwicklern, dem KI-Tool Github Copilot konversationell Fragen zum Code zu stellen und Fehler korrigieren zu lassen.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Zwerge traf Schneewittchen im Wald?
GOLD SPONSOREN
SPONSOREN & PARTNER