Git for Windows 發現有兩個極嚴重 vulnerability!

  1. 喺一部 shared machine 入面放一個 C:\.git\config
  2. 因為所有 account 嘅 Git < 2.35.2 都會直接讀取呢個 global config
  3. hacker 就可以透過設定某幾款 config 行 arbitrary command execution 去攻擊嗰個 account

反思

好似以呢個為例原意可能只係

想提升產品 UX 自動掃 global config

咁就產生咗一個 vulnerability...

言而得閒睇下啲 vulnerability report 擴闊 software security design 思路,始終做 software design,要喺安全同方便要拎個平衡去方便用戶真心唔容易,睇多啲 hacker 會點利用某啲特性去鑽出個 vulnerability 有助啟發不同思考!