Novas versões do Git foram lançadas com correções para cinco vulnerabilidades, sendo a mais crítica (CVE-2024-32002) que pode ser usada por atacantes para executar código remotamente durante uma operação de “clone”. O Git é um sistema de controle de versão distribuído amplamente popular para desenvolvimento colaborativo de software. Ele pode ser instalado em máquinas com Windows, macOS, Linux e várias distribuições BSD. Plataformas de desenvolvimento de software baseadas na web, como GitHub e GitLab, são baseadas no Git.

O Visual Studio, ambiente de desenvolvimento integrado da Microsoft, tem ferramentas Git (MinGit) incorporadas diretamente, e outros IDEs também dependem dele. A CVE-2024-32002 é uma vulnerabilidade crítica que permite que repositórios Git especialmente criados com submódulos enganem o Git, fazendo-o escrever arquivos em um diretório .git/ em vez do worktree do submódulo.

“Isso é possível através de uma combinação de confundir o Git com um diretório e um link simbólico que difere apenas em maiúsculas e minúsculas, de modo que o Git pode escrever em um ou no outro, mas não em ambos. Essa confusão pode ser usada para manipular o Git para escrever um hook que será executado enquanto a operação de clone ainda está em andamento, dando ao usuário nenhuma oportunidade de inspecionar o código que está sendo executado”, explicou Johannes Schindelin, mantenedor do Git para Windows. Atualizar para a versão mais recente do Git é essencial para se proteger contra essas vulnerabilidades.

Se você não puder atualizar imediatamente, tenha cuidado ao clonar repositórios de fontes desconhecidas. Versões corrigidas do Git foram incorporadas nas últimas versões do GitHub Desktop (para Windows e macOS).