Google enthüllt kritische Lücke bei Github

3. November 2020, 16:39
  • github
  • google
  • security
  • lücke
  • insideit
image

Weil Github zu langsam reagiert und die Lücke unterschätzt habe, publiziert Google sein Wissen.

Google Project Zero (GPZ), das Google-Security-Team, hat eine kritische Lücke bei Github offengelegt, die noch weit offen steht. Dies, nachdem die Code-Hosting-Site nach der Warnung zu langsam reagiert habe und schliesslich um eine doppelte Verlängerung der normalen 90-Tage-Frist für die Offenlegung gebeten hatte.
Dies meldet 'ZDnet'.
Am 21. Juli erfuhr Github vom GPZ von der Lücke in Github Actions und hätte – wie üblich – 90 Tage zum Schliessen gehabt, also bis 19. Oktober. Nach einer "Gnadenfrist" platzte offenbar dem GPZ nun der Kragen, denn laut einem Blog-Post sei "das grosse Problem bei diesem Feature, dass es hochanfällig für Injektionsangriffe ist".
Github gab am 1. Oktober ein Advisory heraus, welches der Lücke bloss den Risikostatus "moderat" gab (CVE-2020-15228).
'ZDnet' beschreibt die Kommunikation zwischen dem GPZ und Github.

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Cyberkriminelle veröffentlichen Daten von Läderach

Einen Monat nach dem Cyberangriff auf den Schweizer Chocolatier sind mehrere Datenpakete im Darknet aufgetaucht. Läderach erklärt uns, die Situation genau zu beobachten.

publiziert am 6.10.2022
image

Bruce Schneier: "Man wird nie sicher sein, dass E-Voting nicht manipuliert wurde"

Kryptographie-Guru Schneier war kürzlich in Zürich. Wir haben mit ihm über E-Voting, Cybersicherheit und die US-Zentralbank gesprochen.

publiziert am 6.10.2022 6
image

Versicherungsriese Lloyd's fürchtet, gehackt worden zu sein

Der Konzern hat die externen Verbindungen gekappt, nachdem ein möglicher Cyberangriff festgestellt worden ist. Lloyd's Syndikate handeln auch mit Cyberversicherungen.

publiziert am 6.10.2022