A equipe do Project Zero do Google, dedicada a encontrar bugs de segurança em softwares desenvolvidos pela própria empresa ou por terceiros, anunciou a descoberta de um bug classificado como sendo de “alta severidade” no GitHub, um popular sistema de controle de versão e repositório de código-fonte mantido pela Microsoft e usado por desenvolvedores e empresas em todo o mundo.
A falha está localizada em um recurso chamado workflow commands, que permite automatizar ações relacionadas a um fluxo de trabalho. Segundo Felix Wilhelm, engenheiro do Project Zero que relatou o problema, este recurso é “extremamente vulnerável” à injeção de comandos, e “fundamentalmente inseguro”, já que permitiria a um malfeitor executar código remotamente em uma máquina vulnerável.
Felix afirma ter analisado repositórios de projetos populares no Github, e que “quase qualquer projeto com ações razoavelmente complexas é vulnerável a esta categoria de bugs”.
Recentemente o Github criou um repositório com 21 TB de código-fonte no Ártico para assegurar a preservação dos projetos mais populares. Foto: Github.
Prazo para correção
Como política padrão, a equipe do Project Zero dá aos responsáveis por um software um período de 90 dias para corrigir uma vulnerabilidade detectada, com a divulgação pública da falha apenas após este prazo. A falha foi descoberta em 21 de julho, e o prazo de 90 dias para a correção expiraria em 18 de outubro.
No início de outubro o Github desativou os comandos vulneráveis e enviou um alerta os usuários, avisando sobre uma vulnerabilidade “moderada” e pedindo que atualizassem seus fluxos de trabalho. Em 16 de outubro o serviço recebeu do Google uma extensão do prazo, de mais 14 dias, para que desabilitasse todos os comandos.
Em 1º de novembro o Github entrou em contato com o Google solicitando uma nova extensão, desta vez de 48 horas, para que pudesse notificar os clientes sobre o problema e determinar uma “data limite” para a correção. Como isto não está de acordo com as políticas de divulgação do Project Zero, a extensão foi negada e a falha divulgada, junto com uma prova de conceito detalhando seu funcionamento.
Fonte: Neowin