GitHub sürüm kontrol platformunun operatörleri, bilinmeyen kod imzalama sertifikalarının çalındığını bildirdi. GitHub Desktop ve o zamandan beri kullanımdan kaldırılan Atom kaynak kodu düzenleyicisi etkilenir. Şirkete göre platform veya diğer projeler için herhangi bir tehlike söz konusu değil.
GitHub, 2 Şubat’tan itibaren kaldıraçlı sertifikaları iptal ediyor. Bunlar iki Digicert sertifikası ve bir Apple Developer ID sertifikasıdır. Digicert’lerden birinin süresi 1 Şubat’ta, diğeri ise 4 Ocak’ta geçersiz olurken, Apple Geliştirici Kimliği sertifikası 2027’ye kadar iptal edilmeden çalışacaktı. 2 Şubat’tan itibaren.
İlgili tüm platformlar için Mac ve Atom için GitHub Masaüstü
Mac sürüm 3.0.2’den 3.1.2’ye (dahil) GitHub Desktop kullanan herkesin mevcut sürüme yükseltme yapması gerekir. Şirket bloguna göre, Windows varyantı etkilenmedi. GitHub Desktop’ın Ocak ayı başlarında yayınlanan sürümü, kötüye kullanılmamış yeni bir kod imzalama sertifikasıyla imzalanmıştır.
Tüm Atom platformları için 1.63.0 ve 1.63.1, iptal edilen sertifikalar nedeniyle artık çalışmayacaktır. GitHub, Haziran 2022’de kaynak kodu düzenleyicisini durdurduğu ve nihayet Aralık ayında durdurduğu için daha yeni bir sürüm yok. Atom’u kullanmaya devam etmek istiyorsanız, Mart ayında yayınlanan 1.60 sürümüne geri dönmeniz gerekiyor.
2 Şubat’tan itibaren GitHub Desktop ve Atom’un etkilenen sürümleri artık çalışmayacak çünkü kod imzalama sertifikaları bu tarihten sonra geçerli olmayacak.
Eski depolara saldırı
Aralık ayı başlarında, gizliliği ihlal edilmiş Kişisel Erişim Simgesine (PAT) sahip bilinmeyen kişiler, GitHub’dan herkese açık olmayan, kullanımdan kaldırılmış depolara erişti ve içeriği klonladı. GitHub’a göre depolar müşteri verilerini içermiyordu, ancak GitHub Masaüstü ve Atom için üç şifrelenmiş kod imzalama sertifikası içeriyordu. Yabancılar muhtemelen depolarda herhangi bir değişiklik yapmadılar, sadece içeriği klonladılar.
Sertifikalarla kod imzalamanın amacı, uygulamanın gerçekten ilgili yazardan geldiğinden ve kimsenin kodu kurcalamadığından emin olmaktır. Saldırganlar sertifikalara erişim elde ederse, sözde güvenlik mührü ile kötü amaçlı kod gönderebilirler. Mevcut durumda, önce kod imzalama sertifikalarının şifresini çözmeleri gerekir.
Ciddi bir tehlike görünmüyor, ancak GitHub Desktop veya Atom’un etkilenen sürümlerini kullanan herkesin yazılımı kullanmaya devam edebilmesi için 2 Şubat’tan önce sürüm yükseltmesi veya düşürmesi gerekiyor. GitHub blogunda daha fazla ayrıntı bulunabilir.
(rm)
Haberin Sonu
GitHub, 2 Şubat’tan itibaren kaldıraçlı sertifikaları iptal ediyor. Bunlar iki Digicert sertifikası ve bir Apple Developer ID sertifikasıdır. Digicert’lerden birinin süresi 1 Şubat’ta, diğeri ise 4 Ocak’ta geçersiz olurken, Apple Geliştirici Kimliği sertifikası 2027’ye kadar iptal edilmeden çalışacaktı. 2 Şubat’tan itibaren.
İlgili tüm platformlar için Mac ve Atom için GitHub Masaüstü
Mac sürüm 3.0.2’den 3.1.2’ye (dahil) GitHub Desktop kullanan herkesin mevcut sürüme yükseltme yapması gerekir. Şirket bloguna göre, Windows varyantı etkilenmedi. GitHub Desktop’ın Ocak ayı başlarında yayınlanan sürümü, kötüye kullanılmamış yeni bir kod imzalama sertifikasıyla imzalanmıştır.
Tüm Atom platformları için 1.63.0 ve 1.63.1, iptal edilen sertifikalar nedeniyle artık çalışmayacaktır. GitHub, Haziran 2022’de kaynak kodu düzenleyicisini durdurduğu ve nihayet Aralık ayında durdurduğu için daha yeni bir sürüm yok. Atom’u kullanmaya devam etmek istiyorsanız, Mart ayında yayınlanan 1.60 sürümüne geri dönmeniz gerekiyor.
2 Şubat’tan itibaren GitHub Desktop ve Atom’un etkilenen sürümleri artık çalışmayacak çünkü kod imzalama sertifikaları bu tarihten sonra geçerli olmayacak.
Eski depolara saldırı
Aralık ayı başlarında, gizliliği ihlal edilmiş Kişisel Erişim Simgesine (PAT) sahip bilinmeyen kişiler, GitHub’dan herkese açık olmayan, kullanımdan kaldırılmış depolara erişti ve içeriği klonladı. GitHub’a göre depolar müşteri verilerini içermiyordu, ancak GitHub Masaüstü ve Atom için üç şifrelenmiş kod imzalama sertifikası içeriyordu. Yabancılar muhtemelen depolarda herhangi bir değişiklik yapmadılar, sadece içeriği klonladılar.
Sertifikalarla kod imzalamanın amacı, uygulamanın gerçekten ilgili yazardan geldiğinden ve kimsenin kodu kurcalamadığından emin olmaktır. Saldırganlar sertifikalara erişim elde ederse, sözde güvenlik mührü ile kötü amaçlı kod gönderebilirler. Mevcut durumda, önce kod imzalama sertifikalarının şifresini çözmeleri gerekir.
Ciddi bir tehlike görünmüyor, ancak GitHub Desktop veya Atom’un etkilenen sürümlerini kullanan herkesin yazılımı kullanmaya devam edebilmesi için 2 Şubat’tan önce sürüm yükseltmesi veya düşürmesi gerekiyor. GitHub blogunda daha fazla ayrıntı bulunabilir.
(rm)
Haberin Sonu