Xcode: Macs durch veraltete Git-Version verwundbar

Die Entwickler-Tools von Apples Entwicklungsumgebung Xcode 7.3 installieren eine veraltete Ausführung der Versionsverwaltung Git. Darauf weist das Computer Emergency Response Team der Bundesverwaltung in einem Tweet hin. In der mitgelieferten Git-Version 2.6.4 klaffen zwei Sicherheitslücken, die es einem entfernten Angreifer ermöglichen, Schadcode einzuschleusen und auszuführen: Manipulierte Repositories mit sehr langen Dateinamen lösen bei der Verarbeitung durch Git einen Integer-Überlauf aus.

Die Lücken wurden bereits Ende März geschlossen, Apple hat bislang allerdings kein Update mehr für Xcode und die Entwickler-Tools veröffentlicht, diese wurden zuletzt am 21. März mit der Veröffentlichung von iOS 9.3 aktualisiert.

Durch Apples mit OS X 10.11 El Capitan eingeführte Schutzfunktion "System Integrity Protection" (SIP) ist es dem Nutzer zudem nicht länger möglich, Git eigenhändig auf den aktuellen Stand zu bringen, wie ein Entwickler anmerkt: Das Verzeichnis /usr/bin/git lasse sich nicht einfach ersetzen. Die Schutzfunktion kann aber manuell deaktiviert werden.

Zwar ist es möglich, die Zugriffsrechte für Git im Xcode-Verzeichnis ändern, doch eine darüber durchgeführte Aktualisierung könnte später zu Problemen führen, wenn Apple ein Update ausliefert. Entsprechend seien Xcode-Nutzer auf ein schnelles Update durch den Hersteller angewiesen.

[Update 18.04.2016 18:10 Uhr] Die Schutzfunktion SIP lässt sich vom Nutzer deaktivieren, dies wurde in der Meldung deutlicher gemacht. (lbe)