Google enthüllt kritische Lücke bei Github

3. November 2020 um 16:39
  • github
  • google
  • security
  • lücke
  • insideit
image

Weil Github zu langsam reagiert und die Lücke unterschätzt habe, publiziert Google sein Wissen.

Google Project Zero (GPZ), das Google-Security-Team, hat eine kritische Lücke bei Github offengelegt, die noch weit offen steht. Dies, nachdem die Code-Hosting-Site nach der Warnung zu langsam reagiert habe und schliesslich um eine doppelte Verlängerung der normalen 90-Tage-Frist für die Offenlegung gebeten hatte.
Dies meldet 'ZDnet'.
Am 21. Juli erfuhr Github vom GPZ von der Lücke in Github Actions und hätte – wie üblich – 90 Tage zum Schliessen gehabt, also bis 19. Oktober. Nach einer "Gnadenfrist" platzte offenbar dem GPZ nun der Kragen, denn laut einem Blog-Post sei "das grosse Problem bei diesem Feature, dass es hochanfällig für Injektionsangriffe ist".
Github gab am 1. Oktober ein Advisory heraus, welches der Lücke bloss den Risikostatus "moderat" gab (CVE-2020-15228).
'ZDnet' beschreibt die Kommunikation zwischen dem GPZ und Github.

Loading

Mehr zum Thema

image

Cyberkriminelle stehlen schützenswerte Daten von Franz Carl Weber

Die Ransomware-Bande Black Basta behauptet, über 700 GB an Daten des Spielwaren-Händlers ergaunert zu haben. Darunter finden sich vor allem persönliche Daten von Angestellten. Das Mutterhaus bestätigt den Angriff.

publiziert am 1.3.2024 1
image

Zürcher Securosys stellt Sicherheits­modul für Post-Quantum-Welt vor

Das neue Hardware-Sicherheitsmodul (HSM) unterstützt aktuelle wie auch die neuen Quanten-sicheren Algorithmen und soll sich so für den hybriden Einsatz eignen.

publiziert am 1.3.2024
image

Podcast: Sind die Bemühungen gegen Ransomware-Banden aussichtslos?

Lockbit und Alphv wurden zerschlagen – und waren Tage danach wieder aktiv und drohen mit Vergeltung. Wir diskutieren, ob die Bemühungen gegen Ransomware aussichtslos sind.

publiziert am 1.3.2024
image

Ivanti-Backdoors können Factory-Resets überleben

Das bisherige Integrity-Checker-Tool von Ivanti konnte zudem manche Infektionen nicht finden, warnt die US-Sicherheitsbehörde Cisa.

publiziert am 1.3.2024