Löschung: GitHub greift bei Proof-of-Concept-Exploits durch

GitHub hat ankündigte, mit aktualisierten Community-Richtlinien nun verstärkt gegen die Veröffentlichung von Exploits vorzugehen, die nachweislich in Angriffen verwendet wurden. Hintergrund ist ein Vorfall im März 2021.
Das berichtet das Online-Magazin Bleeping Computer. Bei Github tummeln sich dabei eine Vielzahl an Sicherheitsexperten, die ihre Proof-of-Concepts bei Github hochladen - auch um den Druck auf Unternehmen zu erhöhen, bekannte Sicherheitslücken schneller zu schließen. Github hat nun seine Richtlinien aktualisiert und behält sich jetzt ausdrücklich vor, Exploits und Malware-Samples, die auf seinem Dienst gehostet werden, zu löschen.

Hintergrund der neuen Richtlinien ist, dass der Sicherheitsforscher Nguyen Jang im März einen Proof-of-Concept-Exploit (PoC) für die Microsoft Exchange ProxyLogon-Schwachstelle auf GitHub hochgeladen hat. Kurz nach dem Hochladen des Exploits erhielt Jang eine E-Mail von dem zu Microsoft gehörenden GitHub, in der stand, dass der PoC-Exploit entfernt wurde, da er gegen die "Acceptable Use Policies" verstieß.

Exchange-Schutz

In einer Erklärung an BleepingComputer erläuterte GitHub, dass sie den Proof-of-Concept-Code heruntergenommen haben, um Microsoft Exchange-Server zu schützen, die zu diesem Zeitpunkt unter Ausnutzung der Sicherheitslücke stark litten. Es kam damals zu einer weltweiten Sicherheitskrise, da tausende Server auch nach der Freigabe eines Sicherheitsupdates durch Microsoft ihre Server noch nicht aktualisiert hatten und so weiter angreifbar waren.

Reaktion ist ein Schlag gegen die Sicherheitsforschung

"Wir verstehen, dass die Veröffentlichung und Verbreitung von Proof-of-Concept-Exploit-Code für die Sicherheits-Community einen Bildungs- und Forschungswert hat, und unser Ziel ist es, diesen Nutzen mit dem Schutz des breiteren Ökosystems in Einklang zu bringen", so Github in der Erklärung. Allerdings werde man entsprechende Vorsicht bei Proof-of-Concept-Code für kürzlich bekannt gewordene Sicherheitslücken walten lassen.

GitHub sieht sich jetzt mit Gegenreaktionen von Sicherheitsforschern konfrontiert, die der Meinung sind, dass GitHub die Offenlegung legitimer Sicherheitsforschung unterbindet, nur weil diese ein Microsoft-Produkt betrifft.

Download GitHub Desktop Download - Grafischer Client für GitHub Siehe auch:
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Jetzt als Amazon Blitzangebot
Ab 06:35 Uhr YV 520mb/s USB SticksYV 520mb/s USB Sticks
Original Amazon-Preis
39,99
Im Preisvergleich ab
?
Blitzangebot-Preis
31,99
Ersparnis zu Amazon 20% oder 8
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!