「Visual Studio 2017」「GitKraken」がアップデート ～「Git」脆弱性への対策を実施

「Visual Studio Installer」

　米Microsoftは5月31日（現地時間）、「Visual Studio 2017」v15.0.14およびv15.7.3を公開した。先日発表された「Git」の脆弱性への対策が盛り込まれている。

　分散型バージョン管理システム「Git」の旧バージョンには、悪意のある設定ファイル（.gitmodules）を含むレポジトリをサブモジュールを含めてクローンした場合に、任意のコードが実行されてしまう脆弱性（CVE-2018-11235）がある。この脆弱性は「Git」v2.17で修正されており、Windows向けの「Git for Windows」v2.17.2にも同様の修正が取り込まれている。

　「Visual Studio 2017」の場合、本脆弱性への対策を行うにはv15.0.14またはv15.7.3へのアップデートが必要。「Visual Studio Installer」から最新版へ更新できる。

　なお、同社によるとクラウドサービス“Visual Studio Team Services（VSTS）”には悪質なリポジトリがプッシュされるのを防止する措置がとられているとのこと。そのため、「Git」クライアントをアップデートしなくても攻撃を受ける可能性はあまりないが、念のためクライアント側も更新も怠らないよう注意を喚起している。

　また、米Axosoftの「Git」クライアント「GitKraken」にも修正版のv3.6.3が提供されている。同社によると、「GitKraken」はNTFSパスのサニティチェックに起因する脆弱性（CVE-2018-11233）の影響は受けないとのこと。“CVE-2018-11235”に関する修正のみが実施されている。