Компания рекомендует заменить установленные Desktop и Atom другими версиями.
Один из представителей GitHub Для просмотра ссылки Войди
До сих пор в GitHub не нашли доказательств того, что сертификаты, защищенные паролем (один сертификат Apple Developer ID и два сертификата подписи кода Digicert, используемые для приложений Windows), использовались в злонамеренных целях.
«6 декабря 2022 года наши репозитории Atom, Desktop и некоторых других программ, принадлежащих GitHub, были скопированы с помощью скомпрометированного токена личного доступа ( Для просмотра ссылки Войди
Компания добавила, что нет никакого риска для GitHub.com из-за этого нарушения безопасности. В затронутые проекты не было внесено никаких несанкционированных изменений. Однако скомпрометированные сертификаты будут отозваны, чтобы сделать недействительными подписанные с их помощью версии GitHub Desktop и Atom Editor.
В GitHub заявили, что 3 сертификата будут отозваны 2 февраля 2023 года:
- Срок действия одного сертификата Digicert истек 4 января 2023 года, а срок действия второго истекает 1 февраля 2023 года. По истечении срока действия эти сертификаты больше нельзя использовать для подписи кода. Хотя они не будут представлять риска, в качестве превентивной меры компания отзовёт их 2 февраля.
- Сертификат Apple Developer ID действителен до 2027 года. GitHub тесно взаимодействует с Apple, чтобы отслеживать любые новые исполняемые файлы, подписанные с помощью этого сертификата, до момента его отзыва 2 февраля.
GitHub удалил две последние версии Atom (1.63.0-1.63.1) со страницы релизов и 2 февраля аннулирует сертификаты подписи Mac и Windows, используемые для подписи Desktop 3.0.2-3.1.2 и Atom 1.63.0-1.63.1. После отзыва сертификатов все версии приложений, подписанные скомпрометированными сертификатами, больше не будут функционировать.
«4 января 2023 года мы опубликовали новую версию Desktop. Эта версия подписана новыми сертификатами, которые не были подвержены воздействию злоумышленников. Мы настоятельно рекомендуем Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru