据 Github 发布的安全公告,2022 年 12 月 6 日黑客使用受损的个人访问令牌克隆了 Github Desktop、Atom 和其他已弃用的存储库。Github 次日发现异常立即撤销了这个访问令牌,而存储库里则包含 Github 的代码签名证书。
好消息是 Github 对这两份签名证书进行了加密,所以黑客没法解密的话还是没法使用,目前 Github 也没有发现有利用这些签名证书的迹象。
这两份签名证书分别用户 Github Desktop 和 Github Atom,作为预防措施 Github 已经吊销了这两份证书。也正是由于吊销的原因,使用上述受影响证书的版本将停止工作,用户需要及时升级新版本。
Github Desktop for Mac 以下版本将被停用:3.0.2~3.0.8、3.1.0~3.1.2
Github Atom 以下版本将被停用:1.63.1 和 1.63.0。
Github Desktop for Windows 版不受影响。
还有个受影响的是 Apple Developer ID 证书,这份证书要到 2027 年才过期,Github 本周也吊销了这份证书,同时 Github 找苹果安全团队合作监控任何使用这份证书签发的新可执行文件。
目前尚不清楚黑客是如何获得个人访问令牌的,Github 估计还在进行调查所以没有公布细节。
另外本次安全事件不涉及任何客户的个人资料,泄露的存储库主要是 Github 自己的部分数据。
本文来源 蓝点网,由 本站 整理编辑,其版权均为 原网址 所有,文章内容系作者个人观点,不代表 本站 对观点赞同或支持。如需转载,请注明文章来源。
相关文章
