Nå må alle oppdatere GitHub Desktop for Mac

Slutter å fungere etter 2. februar.

Det er på tide å oppdatere GitHub Desktop for Mac, hvis du ikke allerede har gjort det. 📸: <a href="https://unsplash.com/@synkevych?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">Roman Synkevych </a>/ <a href="https://unsplash.com/photos/wX2L8L-fGeA?utm_source=unsplash&amp;utm_medium=referral&amp;utm_content=creditCopyText">Unsplash</a>
Det er på tide å oppdatere GitHub Desktop for Mac, hvis du ikke allerede har gjort det. 📸: Roman Synkevych / Unsplash Vis mer

Bruker du GitHub Desktop for Mac? Isåfall må du oppdatere til den nyeste versjonen før 2. februar.

Etter den datoen vil alle gamle versjoner slutte å fungere.

Den 7. desember 2022 oppdaget GitHub at noen hadde fått tilgang til et sett med repoer som ble brukt i forbindelse med planlegging og utvikling av GitHub Desktop og Atom.

Tilbakekaller sertifikater

Ifølge GitHub har uvedkommende klart å hente ut et sett med krypterte sertifikater som blir brukt til å signere kode. Sertifikatene skal ha vært passordbeskyttet, og det er derfor ikke mistanke om misbruk.

GitHub velger likevel for sikkerhets skyld å ugyldiggjøre sertifikatene som brukes til GitHub Desktop og Atom-applikasjonene.

Det betyr at tidligere versjoner av GitHub Desktop for Mac, samt noen versjoner av Atom-editoren, vil slutte å fungere. Microsoft og Github har imidlertid sluttet å videreutvikle Atom, så om du vil fortsette å bruke den må du faktisk nedgradere til en tidligere versjon.

Versjonene som rammes

Disse versjonene av GitHub Desktop for Mac vil slutte å fungere fra og med 2. februar:

  • 3.1.2
  • 3.1.1
  • 3.1.0
  • 3.0.8
  • 3.0.7
  • 3.0.6
  • 3.0.5
  • 3.0.4
  • 3.0.3
  • 3.0.2

GitHub Desktop for Windows er ikke berørt.

Her finner du instruksjoner for hvordan du oppdaterer GitHub Desktop for Mac.

Brukes til å verifisere kodeeier

Det var den 6. desember i fjor at noen klarte å klone de aktuelle repoene gjennom et Personal Access Token (PAT) som hadde kommet på avveie. Da angrepet ble oppdaget den 7. desember trakk GitHub tilbake aksess-tokenet.

Koden angriperne hadde lastet ned innholdt imidlertid flere krypterte sertifikater. Disse brukes via Actions i GitHub Desktop til å verifisere at brukeren som laster opp kode er den vedkommende utgir seg for. Dette tilsvarer hvordan man kan signere commits på GitHub.

Hvis noen klarer å dekryptere sertifikatene, kan de i teorien bli i stand til å signere uoffisielle applikasjoner og late som om de er skrevet av noen i GitHub.

En ny versjon av Desktop-appen ble publisert 4. januar – alle versjoner etter denne skal være trygge.