Gitの重大な脆弱性CVE-2024-32002:RCE用PoCエクスプロイトを研究者らが公開 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Gitの重大な脆弱性CVE-2024-32002:RCE用PoCエクスプロイトを研究者らが公開

Threat Report

AI

Git

RCE

Gitの重大な脆弱性CVE-2024-32002:RCE用PoCエクスプロイトを研究者らが公開

Yoshida

Yoshida

2024.05.21

5月21日:サイバーセキュリティ関連ニュース

Gitの重大な脆弱性CVE-2024-32002:RCE用PoCエクスプロイトを研究者らが公開

securityonline[.]info – MAY 19, 2024

セキュリティ研究者のAmar Murali氏が、Gitの重大なリモートコード実行(RCE)の脆弱性に関する技術的詳細PoCを発表した。

この脆弱性はCVE-2024-32002として追跡されており、CVSSスコアは9.1。Murali氏のエクスプロイトでは、大文字小文字を区別しないファイルシステムとシンボリックリンクの組み合わせを利用する。具体的には、サブモジュール内に有害なシンボリックリンクを作成し、パスの大文字小文字を変化させることで、Gitが隠れた「.git」ディレクトリを露出させるようにする。このディレクトリにはクローン操作中に実行されるフックが含まれており、これがRCEのベクターになるのだという。

「git clone」操作は無数の開発ワークフローの基本であるため、この脆弱性は重大な脅威になるとのこと。幸いなことに、この脆弱性はGitの最新バージョンで修正されているため、ユーザーは直ちにシステムをアップデートすることが強く推奨されている。

Windows 11のAI新機能「Recall」はPC上のすべての行動を記録

BleepingComputer – May 20, 2024

マイクロソフトは、Windows 11の新しいAI機能「Recall」を発表した。Recallは、ユーザーがPC上で行うすべての操作画面を数秒ごとに保存し、テキスト検索したり時系列を確認したりすることで過去の行動を検索できるようにするもの。具体的には、これを使うことで過去に開いていたアプリやWebサイト、ドキュメントのコンテンツを見つけることができる。またこの機能は、認識した内容に基づいてアクションを提案するため、探していたOutlookのメールやTeamsのチャットにも簡単にアクセスできるようになる。

Recallが取得できる情報は制御することができ、AIはハードウェアレベルで動作するほか、すべてのデータがデバイスのローカルに保存されるという。

この機能は英語、中国語(簡体字)、フランス語、ドイツ語、日本語、スペイン語といった一部の言語のみをサポートする形で展開される。

WindowsでRecallを使う場合は、40TOPS以上のNPU性能を持つチップ「Snapdragon X」と16GB以上のRAM、256GB以上のストレージを搭載するCopilot+ PCが必要とのこと。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ