「Git for Windows 2.39.2」が公開 ～4件の脆弱性に対処

「Git for Windows」v2.39.2

　分散型バージョン管理システム「Git」の最新版v2.39.2が、2月6日（日本時間）に公開された。「Git」のWindows版である「Git for Windows」も2月15日にv2.39.2へアップデートされており、以下の4件の脆弱性が修正されている（括弧内は深刻度の評価）。

• CVE-2023-22743：「Git for Windows」のインストーラーがDLLサイドローディング攻撃を受ける（High）
• CVE-2023-23618：「gitk」がワークツリーに配置されたプログラムを誤って実行する（High）
• CVE-2023-22490：ローカルクローンでデータが漏洩する（Moderate）
• CVE-2023-23946：細工したパッチで「git apply」がカレントディレクトリ外のファイルに書き込むように仕向けられる（Moderate）

　「CVE-2023-22490」と「CVE-2023-23946」は「MinGit」（他の製品に組み込むことを前提とした軽量版）にも影響するとのことで、同日付けで対策版のv2.35.7.windows.1がリリースされている。Windows向けの「Git」GUIアプリを利用している場合は、製品のアップデートに注意したい。