Publié mardi dernier, le dernier patch tuesday de Microsoft a permis de combler 36 vulnérabilités dont 7 critiques. Parmi elles, 6 ont affecté Github, présentant des risques. Au même moment, la plateforme de repository pour projets open source a diffusé une alerte concernant 9 failles, soit 3 de plus que celles recensées dans la salve de correctifs de Microsoft, dont deux concernant les utilisateurs de Git sous Linux. : « Ces versions corrigent diverses failles de sécurité, permettant à un attaquant d'écraser des chemins arbitraires, exécuter du code à distance et/ou écraser des fichiers dans le répertoire .git », a prévenu Github.
Dans le détail, la CVE-2019-1348 pallie une faille dans l'option export-marks de git fast-import permettant d'écraser des chemins arbitraires, alors que la CVE-2019-1353 active les protections NTFS lors de l'exécution de Git dans le sous-système Windows pour Linux (WSL) lors de l'accès à un répertoire de travail sous lecteur standard Windows. La dernière, CVE-2019-1354, permet dorénavant à des fichiers sous Linux/Unix de contenir des barres obliques inverses - des séparateurs de répertoire sous Windows -, empêchant jusqu'à présent l'écriture de fichiers suivis avec de tels nom de fichiers.