![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Sicherheitsforscher von Tenable haben eine GerriScary genannte Schwachstelle im Open-Source-Code-Review-System Gerrit von Google entdeckt. Die Schwachstelle erm\u00f6glichte das Einschleusen von Schadcode in mindestens 18 zentrale Google Projekte, darunter ChromiumOS (CVE-2025-1568), Chromium, Dart und Bazel. \u00dcber GerriScary h\u00e4tten Angreifer bestehende Change Requests manipulieren, Freigabemechanismen aushebeln und Schadcode in kritische Projekte einschleusen k\u00f6nnen.<\/p>\n
GerriScary veranschaulicht die vielschichtigen Risiken in Open-Source-\u00d6kosystemen und Entwickler-Workflows, in denen Fehlkonfigurationen und Automatisierung unbeabsichtigt die Angriffsfl\u00e4che vergr\u00f6\u00dfern k\u00f6nnen, schrieb mir Tenable.<\/p>\n \"Vertrauen ist in der Softwareentwicklung von entscheidender Bedeutung \u2013 insbesondere, wenn es um Open-Source-Kollaborationsplattformen wie Gerrit geht\", so Liv Matan, Senior Security Researcher bei Tenable. \"GerriScary hat einen ausnutzbaren Angriffspfad er\u00f6ffnet, \u00fcber den Bedrohungsakteure etablierte Sicherheitsprotokolle umgehen und zentrale Softwareprojekte direkt kompromittieren konnten \u2013 und einmal mehr verdeutlicht, dass selbst die robustesten \u00d6kosysteme jedes einzelne Glied ihrer Lieferkette sorgf\u00e4ltig \u00fcberpr\u00fcfen m\u00fcssen.\"<\/p>\n W\u00e4re es Angreifern gelungen, GerriScary auszunutzen, h\u00e4tten sie:<\/p>\n Obwohl Google die Schwachstelle inzwischen behoben hat, empfiehlt Tenable Unternehmen, die Gerrit einsetzen:<\/p>\n \"GerriScary zeigt deutlich, warum proaktive Sicherheit unverzichtbar ist. In zunehmend komplexen IT-Umgebungen m\u00fcssen Security-Teams Schwachstellen fr\u00fchzeitig erkennen und beheben, damit Angreifer erst gar nicht die Chance haben, sie auszunutzen\", erg\u00e4nzt Matan. Tenable hat die vollst\u00e4ndigen Forschungsergebnisse hier ver\u00f6ffentlicht<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":" Sicherheitsforscher von Tenable haben eine GerriScary genannte Schwachstelle im Open-Source-Code-Review-System Gerrit von Google entdeckt. Die Schwachstelle erm\u00f6glichte das Einschleusen von Schadcode in mindestens 18 zentrale Google Projekte, darunter ChromiumOS (CVE-2025-1568), Chromium, Dart und Bazel. \u00dcber GerriScary h\u00e4tten Angreifer bestehende Change … Weiterlesen
\nDie Forscher von Tenable fanden heraus, dass falsch konfigurierte Berechtigungen in Gerrit \u2013 insbesondere die Einstellung addPatchSet<\/em> \u2013 in Kombination mit der Art und Weise, wie Freigabebedingungen f\u00fcr Change Requests zwischen Revisionen vererbt wurden, einen ausnutzbaren Angriffspfad er\u00f6ffneten. Dadurch konnten Bedrohungsakteure automatisierte Merge-Prozesse missbrauchen, um ungepr\u00fcften Schadcode ohne jegliche Benutzerinteraktion einzuschleusen \u2013 und so de facto einen Zero-Click-Supply-Chain-Exploit schaffen.<\/p>\nPotenzielle Auswirkungen von GerriScary<\/h2>\n
\n
Empfehlungen f\u00fcr Security-Teams<\/h2>\n
\n