GitHub corrige vulnerabilidade que podia levar a falhas catastróficas
O GitHub confirmou ter corrigido uma vulnerabilidade sobre a sua plataforma que, quando explorada, poderia permitir a terceiros alterarem o conteúdo de qualquer repertório sobre a plataforma – potencialmente abrindo a possibilidade de introduzir malware nos mesmos.
Os investigadores de segurança da empresa Checkmarx confirmaram ter revelado a falha à plataforma no dia 13 de Junho, sendo que o GitHub classificou a mesma como sendo de gravidade elevada.
A falha, se explorada, poderia permitir que utilizadores mal intencionados tivessem a capacidade de usar algumas funcionalidades da plataforma para obterem controlo de repertórios na plataforma, incluindo de alguns que são consideravelmente importantes em centenas ou milhares de projetos pela internet.
Se explorada, a falha poderia permitir que conteúdo adulterado fosse colocado sobre estes repertórios, e potencialmente replicado para qualquer aplicação que estivesse a fazer uso dos mesmos.
Os investigadores afirmam que, caso a falha fosse explorada, poderia ter consequências consideravelmente elevadas, ao ponto de afetar grandes empresas por todo o mundo, numa escala superior ao que foi verificado com o incidente da SolarWinds.
Tudo o que os atacantes necessitariam de fazer seria alterar o nome do reportório e usar um dos que estaria disponível para serem abusados. Tendo em conta o elevado número de projetos que esta poderia afetar, sobretudo projetos que usam repertórios entretanto alterados, o impacto poderia ser significativo.
Como referido, a falha foi notificada para o GitHub a 13 de Junho de 2022, sendo que a plataforma terá corrigido a mesma alguns dias depois e atribuído os ganhos de bug bounty para a entidade.