Специалисты GitHub устранили критическую уязвимость, эксплуатация которой могла позволить злоумышленникам осуществить удалённое выполнение кода и получить доступ к миллионам публичных и приватных репозиториев кода. Залатать брешь в платформе удалось менее чем за шесть часов. Проблему выявила компания Wiz Research с помощью ИИ-алгоритмов, после чего сообщила о ней в GitHub.

GitHub похвалился, что устранил критическую уязвимость менее чем за шесть часов

Обзор Apple MacBook Neo: удивительно хороший ноутбук с процессором от iPhone

GitHub похвалился, что устранил критическую уязвимость менее чем за шесть часов

Обзор ноутбука HONOR MagicBook X16 2026: как раньше, только лучше

GitHub похвалился, что устранил критическую уязвимость менее чем за шесть часов

Компьютер месяца, спецвыпуск: эпоха отката, или Как дефицит чипов памяти влияет на выбор железа для игрового ПК

GitHub похвалился, что устранил критическую уязвимость менее чем за шесть часов

Обзор Ryzen 7 9850X3D: три процента за двадцать баксов

GitHub похвалился, что устранил критическую уязвимость менее чем за шесть часов

Обзор Samsung Galaxy Z TriFold: тройной складной смартфон по цене квартиры в Воркуте

GitHub похвалился, что устранил критическую уязвимость менее чем за шесть часов

Гид по выбору OLED-монитора в 2026 году: эволюция в деталях

GitHub похвалился, что устранил критическую уязвимость менее чем за шесть часов

Можно ли экономить на DDR5 для Ryzen? Сравниваем дешёвую память с дорогой

GitHub похвалился, что устранил критическую уязвимость менее чем за шесть часов

Ryzen и 16 Гбайт DDR5: как сэкономить на памяти так, чтобы не лишиться 15 % производительности

GitHub похвалился, что устранил критическую уязвимость менее чем за шесть часов

От Ryzen 7 1800X до Ryzen 7 9850X3D: девять лет эволюции AMD в одном тесте

GitHub похвалился, что устранил критическую уязвимость менее чем за шесть часов

«Наша команда безопасности немедленно приступила к проверке отчёта в рамках программы вознаграждений за обнаружение уязвимостей. В течение 40 минут мы воспроизвели уязвимость в тестовой среде и подтвердили её серьёзность. Это была критическая проблема, требовавшая немедленных действий», — рассказал Алексис Уэльс (Alexis Wales), глава подразделения информационной безопасности GitHub.

Инженеры GitHub оперативно разработали патч и развернули его чуть более чем через час после выявления первопричины, тем самым защитив GitHub.com и GitHub Enterprise Server. «Менее чем за два часа мы подтвердили обнаружение уязвимости, развернули исправление на github.com и начали расследование, в результате чего пришли к выводу, что уязвимость не эксплуатировалась», — добавил Уэльс. Это означает, что на полноценное устранение проблемы у команды GitHub, включая проведение расследования, ушло менее шести часов с момента получения отчёта Wiz Research.

По данным источника, уязвимость в инфраструктуре GitHub была обнаружена с помощью ИИ, но какая именно модель помогла выявить проблему, не уточняется. «Примечательно, что это одна из первых критических уязвимостей, обнаруженных в бинарных файлах с закрытым исходным кодом с помощью ИИ, что подчёркивает сдвиг в том, как выявляются подобные недостатки», — считает ИБ-специалист из Wiz Research Саги Цадик (Sagi Tzadik).

Несмотря на то, что команда GitHub быстро устранила уязвимость, в Wiz Research отметили, что её было «очень легко использовать», несмотря на сложность базовой системы GitHub. «Находка такого уровня и степени серьёзности встречается редко, она принесла обнаружившим её одно из самых больших вознаграждений, доступных в рамках нашей программы обнаружения уязвимостей, и служит напоминанием о том, что наиболее результативные исследования в области безопасности проводятся квалифицированными специалистами, умеющими задавать правильные вопросы», — отметил Уэльс.