Yetkisiz bir erişim olayından sonra GitHub, Atom ve Mac için GitHub Desktop kullanıcılarını etkileyecek üç sertifikayı iptal edecek.
Bir harekete geçirici mesajda GitHub, GitHub Desktop for Mac ve Atom kullanıcılarını, GitHub Desktop ve Atom’un planlanması ve geliştirilmesinde kullanılan bir dizi havuza yetkisiz erişim sırasında açığa çıkan sertifikaları iptal edeceği konusunda uyardı. Bu sertifikaların iptal edilmesi, Mac ve Atom için GitHub Desktop’ın bazı sürümlerini geçersiz kılacaktır.
Azaltma
Mac ve Atom için GitHub Desktop kullanıcılarının 2 Şubat 2023’ten önce harekete geçmesi gerekecek. Windows için GitHub Desktop üzerinde herhangi bir etkisi olmayacaktır.
Atom’un etkilenen sürümleri 1.63.0 ve 1.63.1’dir. Atom’u kullanmaya devam etmek için kullanıcıların önceki bir Atom sürümünü indirmeleri gerekir. Atom’un son yıllarda önemli bir özellik geliştirmesi olmadığı ve 15 Aralık 2022 için gün batımı duyurulduğu için daha yeni bir sürüm yok ve olmayacak.
Mac için GitHub Desktop’ın etkilenen sürümleri 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.1.0, 3.1.1 ve 3.1.2’dir. Bu sürümlerin kullanıcılarından Masaüstünün en son sürümüne güncelleme yapmaları istenir.
Sertifikalar
Sertifikalar, yazılımın veya kodun yazarını doğrulamak için kullanılır. Bir sertifika iptal edildiğinde artık yeni kod imzalamak için kullanılamaz. Bu sertifikaların iptal edilmesi, Masaüstü ve Atom uygulamalarının mevcut kurulumlarını riske atmaz.
Sertifikalar parola korumalı olmasına ve kötü niyetli kullanım kanıtı olmamasına rağmen GitHub, bir tehdit aktörünün bu sertifikalarla resmi olmayan uygulamaları imzalaması ve bunların resmi olarak GitHub tarafından oluşturulmuş gibi davranması riskini almak istemiyor.
Bunun olmasını önlemek için GitHub, Windows için kullanılan iki Digicert kod imzalama sertifikası ve bir Apple Geliştirici Kimliği sertifikası olmak üzere üç belirli sertifikayı iptal edecek. Digicert sertifikalarının ömrü kısaydı ve sonuç olarak 2 Şubat 2023’ten sonra kod imzalamak için kullanılamazlardı. Apple Developer ID sertifikası 2027 yılına kadar geçerlidir.
Neden? Niye?
7 Aralık 2022’de GitHub, GitHub Desktop ve Atom’un planlanması ve geliştirilmesinde kullanılan bir dizi havuza yetkisiz erişim tespit etti. Araştırmanın ardından yetkisiz değişiklik bulunmadı, ancak bir dizi şifreli kod imzalama sertifikası çalındı. 6 Aralık 2022’de gerçekleştirilen yetkisiz erişim sırasında, Atom, Desktop ve diğer kullanımdan kaldırılmış GitHub’a ait kuruluşlardaki depolar, bir makine hesabıyla ilişkilendirilmiş güvenliği ihlal edilmiş bir Kişisel Erişim Simgesi (PAT) tarafından klonlandı.
GitHub eylemleri
Kapsamlı bir araştırma ve üç sertifikayı iptal etmenin yanı sıra GitHub, Atom uygulamasının etkilenen iki sürümünü (1.63.0-1.63.1) yayınlar sayfasından kaldırdı. Ayrıca, söz konusu sertifika 2 Şubat’ta iptal edilene kadar, ifşa edilen Apple Geliştirici Kimliği sertifikasıyla imzalanmış yeni yürütülebilir dosyaları (uygulamalar gibi) izlemek için Apple ile birlikte çalışıyorlar.
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.