近日,微软 Visual Studio 团队项目经理 Edward Thomson 在其博客中对外披露,Git 社区最近发现了一个严重漏洞,Git 子模块在解析时可能导致git clone --recursive执行任意命令。Git 和众多提供 Git 托管服务的公司都开始安装相关补丁程序,用以修补 Git 源码版本控制系统的一个危险漏洞。该补丁程序将包含在 Git 2.17.1 中,主要修补了两个安全漏洞 CVE-2018-11233 和 CVE-2018-11235。Git 漏洞导致可在用户电脑上执行任意代码CVE-2018-11235 被认为是最危险的一个漏洞,恶意攻击者可借此漏洞创建包含特殊 Git 子模块的 Git 仓库。在用户克隆这些仓库时,Git 客户端处理恶意 Git 子模块的方式为攻击者提供了可乘之机,他们可以在用户系统上执行恶意代码。最近发布的 Git 2.17.1 包含了补丁程序,
………………………………
