Исходное сообщение
"Обновление Git с устранением 8 уязвимостей" Отправлено Аноним, 11-Дек-19 11:40
>при работе на платформе Windows применение альтернативных потоков данных в NTFS, создаваемых через добавление признака ":stream-name:stream-type" к имени файла, позволяло перезаписать файлы в каталоге ".git/" при клонировании вредоносного репозитория. Например, имя ".git::$INDEX_ALLOCATION" в NTFS обрабатывалось как корректная ссылка на каталог ".git". А вот-это уже уязвимость (а может быть и бэкдор) винды: давать доступ к альтернативным потокам через символьное имя. По хорошему следовало бы 1 сохранить старое API, но давать через него доступ только к обычным файлам. 2 ввести новое API, где пути - это исключительно объекты.