Zertifikate bei GitHub gestohlen: Editor Atom und GitHub Desktop betroffen

GitHub hat abgegriffene Code-Signing-Zertifikate widerrufen, womit einige Versionen von GitHub Desktop für Mac und vom Sourcecode-Editor Atom ungültig werden.

In Pocket speichern vorlesen Druckansicht 17 Kommentare lesen

(Bild: evkaz/Shutterstock.com)

Lesezeit: 3 Min.
Von
  • Rainald Menge-Sonnentag

Die Betreiber der Versionverwaltungsplattform GitHub haben gemeldet, dass Unbekannte Zertifikate zum Signieren von Code abgegriffen haben. Betroffen sind GitHub Desktop und der inzwischen eingestellte Sourcecode-Editor Atom. Eine Gefahr für die Plattform oder andere Projekte besteht laut Angaben des Unternehmens nicht.

GitHub widerruft die abgegriffenen Zertifikate zum 2. Februar. Dabei handelt es sich um zwei Digicert und ein Apple Developer ID Certificate. Während das eine von Digicert am 1. Februar abläuft und das andere bereits seit dem 4. Januar ungültig ist, liefe das Apple-Developer-ID-Zertifikat ohne Widerruf noch bis 2027. GitHub prüft wohl gemeinsam mit Apple, ob ausführbare Dateien auftauchen, die bis zum 2. Februar mit dem Zertifikat signiert wurden.

Wer GitHub Desktop auf dem Mac in einer der Versionen zwischen 3.0.2 bis einschließlich 3.1.2 verwendet, muss ein Update auf die aktuelle Version durchführen. Die Windows-Variante ist laut dem Unternehmensblog nicht betroffen. Die Anfang Januar veröffentlichte Version von GitHub Desktop ist mit einem neuen Code-Signing-Zertifikat signiert, das nicht abgegriffen wurde.

Für alle Plattformen gilt, dass Atom in den Versionen 1.63.0 und 1.63.1 aufgrund der widerrufenen Zertifikate nicht mehr funktioniert. Da GitHub den Sourcecode-Editor im Juni 2022 abgekündigt und im Dezember endgültig eingestellt hat, existiert keine neuere Version. Wer Atom weiter verwenden möchte, muss auf die im März veröffentlichte Version 1.60 zurückgehen.

Ab dem 2. Februar werden die betroffenen Versionen von GitHub Desktop und Atom nicht mehr funktionieren, da die Code-Signing-Zertifikate ab dem Datum ungültig sind.

Anfang Dezember haben Unbekannte mit einem kompromittierten Personal Access Token (PAT) Zugriff auf nicht öffentliche, als veraltete (deprecated) erklärte Repositories von GitHub zugegriffen und die Inhalte geklont. In den Repositories befanden sich laut GitHub keine Daten von Kunden, aber drei verschlüsselte Code-Signing-Zertifikate für GitHub Desktop und Atom. Die Unbekannten haben wohl keine Änderungen an den Repositories vorgenommen, sondern lediglich die Inhalte geklont.

Das Signieren des Codes mit Zertifikaten soll sicherstellen, dass die Anwendung tatsächlich von dem jeweiligen Urheber stammt und niemand den Code manipuliert hat. Erhalten Angreifer Zugriff auf die Zertifikate, können sie Schadcode mit dem vermeintlichen Sicherheitssiegel veröffentlichen. Im aktuellen Fall müssten sie dazu zunächst die Code-Signing-Zertifikate entschlüsseln.

Eine akute Gefahr scheint nicht vorzuliegen, aber wer die betroffenen Versionen von GitHub Desktop oder Atom verwendet, muss vor dem 2. Februar ein Up- beziehungsweise Downgrade durchführen, um die Software weiter verwenden zu können. Weitere Details lassen sich dem GitHub-Blog entnehmen.

(rme)