Löschung: GitHub greift bei Proof-of-Concept-Exploits durch
GitHub hat ankündigte, mit aktualisierten Community-Richtlinien nun verstärkt gegen die Veröffentlichung von Exploits vorzugehen, die nachweislich in Angriffen verwendet wurden. Hintergrund ist ein Vorfall im März 2021.
Das berichtet das Online-Magazin Bleeping Computer. Bei Github tummeln sich dabei eine Vielzahl an Sicherheitsexperten, die ihre Proof-of-Concepts bei Github hochladen - auch um den Druck auf Unternehmen zu erhöhen, bekannte Sicherheitslücken schneller zu schließen. Github hat nun seine Richtlinien aktualisiert und behält sich jetzt ausdrücklich vor, Exploits und Malware-Samples, die auf seinem Dienst gehostet werden, zu löschen.
Hintergrund der neuen Richtlinien ist, dass der Sicherheitsforscher Nguyen Jang im März einen Proof-of-Concept-Exploit (PoC) für die Microsoft Exchange ProxyLogon-Schwachstelle auf GitHub hochgeladen hat. Kurz nach dem Hochladen des Exploits erhielt Jang eine E-Mail von dem zu Microsoft gehörenden GitHub, in der stand, dass der PoC-Exploit entfernt wurde, da er gegen die "Acceptable Use Policies" verstieß.
GitHub sieht sich jetzt mit Gegenreaktionen von Sicherheitsforschern konfrontiert, die der Meinung sind, dass GitHub die Offenlegung legitimer Sicherheitsforschung unterbindet, nur weil diese ein Microsoft-Produkt betrifft.
Download GitHub Desktop Download - Grafischer Client für GitHub Siehe auch:
Hintergrund der neuen Richtlinien ist, dass der Sicherheitsforscher Nguyen Jang im März einen Proof-of-Concept-Exploit (PoC) für die Microsoft Exchange ProxyLogon-Schwachstelle auf GitHub hochgeladen hat. Kurz nach dem Hochladen des Exploits erhielt Jang eine E-Mail von dem zu Microsoft gehörenden GitHub, in der stand, dass der PoC-Exploit entfernt wurde, da er gegen die "Acceptable Use Policies" verstieß.
Exchange-Schutz
In einer Erklärung an BleepingComputer erläuterte GitHub, dass sie den Proof-of-Concept-Code heruntergenommen haben, um Microsoft Exchange-Server zu schützen, die zu diesem Zeitpunkt unter Ausnutzung der Sicherheitslücke stark litten. Es kam damals zu einer weltweiten Sicherheitskrise, da tausende Server auch nach der Freigabe eines Sicherheitsupdates durch Microsoft ihre Server noch nicht aktualisiert hatten und so weiter angreifbar waren.Reaktion ist ein Schlag gegen die Sicherheitsforschung
"Wir verstehen, dass die Veröffentlichung und Verbreitung von Proof-of-Concept-Exploit-Code für die Sicherheits-Community einen Bildungs- und Forschungswert hat, und unser Ziel ist es, diesen Nutzen mit dem Schutz des breiteren Ökosystems in Einklang zu bringen", so Github in der Erklärung. Allerdings werde man entsprechende Vorsicht bei Proof-of-Concept-Code für kürzlich bekannt gewordene Sicherheitslücken walten lassen.GitHub sieht sich jetzt mit Gegenreaktionen von Sicherheitsforschern konfrontiert, die der Meinung sind, dass GitHub die Offenlegung legitimer Sicherheitsforschung unterbindet, nur weil diese ein Microsoft-Produkt betrifft.
Download GitHub Desktop Download - Grafischer Client für GitHub Siehe auch:
- Exchange-Querdenker? - Zehntausende Systeme bleiben angreifbar
- Exchange-Exploit: Microsoft untersucht, wie Hacker an den Code kamen
- Microsofts MSRC-Team stellt Notfall-Tool für Exchange bereit
- Kritik an Microsoft: Hat der Konzern Exchange-Lücke lang verheimlicht?
- Angriff auf Microsoft Exchange entwickelt sich zur globalen Krise
Thema:
Beliebte Open-Source-Downloads
Videos zum Thema
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- iOS 27 Public Beta ist da: Apple startet Testphase für alle iPhone-Nutzer
- Microsoft warnt vor KI: Patches spätestens nach drei Tagen installieren!
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Crash am Smartphonemarkt: Niedrigste Verkaufszahlen seit 13 Jahren
- Switch 2 OLED: Nintendo plant offenbar doch ein Display-Upgrade
- Pixel 11: Mega-Leak zeigt Bilder & Daten der neuen Google-Smartphones
- Insta360 X6: Technische Daten der neuen 8K/50FPS 360°-Actioncam
Videos
Neueste Downloads
Beliebte Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen