Sicherheitsforscher haben eine Schwachstelle im Datei-Upload-System von
Github entdeckt. Wenn ein Nutzer eine Datei in einen Github-Kommentar hochlädt, wird automatisch ein Download-Link generiert, selbst wenn der Kommentar nie gepostet wird. Dieser Link beinhaltet den Namen seines Eigentümers und des Repositorys. Dadurch kann die Zugehörigkeit zu einer vertrauenswürdigen Quelle vorgetäuscht werden. URLs der Malware-Installationsprogramme würden zum Beispiel darauf hindeuten, dass sie zu Microsoft gehören, so "Mspoweruser" unter Bezug auf "Bleepingcomputer". Doch im Quellcode des Projekts gäbe es keinen Hinweis auf das Unternehmen.
Offenbar wird die Schwachstelle bereits aktiv zur Verbreitung von Malware ausgenutzt, wie "Bleepingcomputer"
berichtet.
Während sich die meisten gefundenen Malware-Aktivitäten auf die Microsoft-Github-URLs beziehen, könnte dieser "Fehler" mit jedem öffentlichen Repository auf Github missbraucht werden, so das Techportal weiter. "So könnte ein Bedrohungsakteur beispielsweise eine ausführbare Malware-Datei in das Nvidia-Treiber-Installationsprogramm hochladen, welche vorgibt, ein neuer Treiber zu sein, der Probleme in einem Spiel behebt",
schreibt "Bleepingcomputer. Alternativ könnte er eine Datei in einem Kommentar zum Google Chromium-Quellcode hochladen und vorgeben, es handle sich um eine neue Webbrowser-Testversion.
Leider gibt es für Entwickler derzeit keine andere Möglichkeit, den Missbrauch zu verhindern, als die Kommentare komplett zu deaktivieren.
(cma)
