Em comunicado publicado no blog oficial, os responsáveis pelo GitHub alertaram para uma nova vulnerabilidade no Git. O problema atinge versões do cliente Git oficial “e os software relacionados que interagem com repositórios, incluindo os GitHubs para Windows e Mac”, segundo o texto.

A brecha, descoberta por pesquisadores da Mercurial, permite que invasores executem códigos arbitrários remotamente. Correções já foram liberadas para a maior parte dos clientes, e por isso é recomendável que todos atualizem os programas para as últimas versões o quanto antes.

No caso do Git, os acertos vêm nas edições v1.8.5.6, v1.9.5, v2.0.5 e v2.2.1, enquanto o MSysGit (do Windows) as recebe na versão 1.9.5. As principais bibliotecas de Git (a libgit2 e a JGit) também já receberam atualizações que resolvem o problema, de acordo com o alerta.

“Um invasor pode criar uma árvore Git maliciosa que fará o sistema apagar seu próprio arquivo .git/config na hora de clonar ou checar um repositório”, diz o comunicado. Isso faz com que a execução remota de códigos seja possível na máquina do usuário.

O bug não chega a afetar diretamente clientes de Linux “se eles usarem um sistema de arquivos ‘case-sensitive’” – ou seja, que diferencie maiúsculas de minúsculas. O problema também deve atingir mais os usuários que acessam repositórios de servidores não confiáveis ou oficiais, visto que o github.com já está imune às ramificações que acionam a vulnerabilidade.