Menü
Alert!
Security

Kritische Lücken im Git-Client Sourcetree gefährden Computer

Es gibt wichtige Sicherheitsupdates für Sourcetree von Atlassian. MacOS- und Windows-Nutzer sollten die abgesicherten Ausgaben zügig installieren.

vorlesen Drucken Kommentare lesen 2 Beiträge
Kritische Lücken im Entwickler-Werkzeug Sourcetree gefährden Computer

(Bild: geralt)

Verschiedene macOS- und Windows-Versionen des Entwickler-Tools Sourcetree sind verwundbar. Mit vergleichsweise wenig Aufwand könnten Angreifer aus der Ferne Schadcode auf Computer schieben und ausführen.

Sourcetree ist eine grafische Benutzeroberfläche, in der man Git- und Mercurial-Projekte verwalten kann. Den Client gibt es kostenlos für Mac- und Windows-Computer.

In einem Sicherheitshinweis versichert Atlassian, die Lücken (CVE-2018-20234, CVE-2018-20235, CVE-2018-17456, CVE-2018-20236) in der macOS-Version ab 3.1.1 und unter Windows ab der Ausgabe 3.0.17 geschlossen zu haben. Verwundbar sollen alle Versionen ab 05.a (Windows) und 1.2 (macOS) sein.

Für einen erfolgreichen Angriff müsste ein entfernter Angreifer Commit-Rechte für ein in Sorucetree verlinktes Git- oder Mercurial-Projekt haben. Außerdem soll eine Schadcode-Attacke durch das alleinige Senden eines URI an Windows-Systeme mit verwundbarer Sourcetree-Version ausführbar sein. (des)