GitHubは現地時間2022年4月12日、Gitプロジェクトが脆弱性に対応する新バージョンをリリースしたことを受けて、Git for Windows利用者のバージョン2.35.2への更新を公式ブログで呼びかけている。Git for Windows利用者はバージョン2.35.2への更新が推奨されている。

  • 脆弱性を告知するブログ<a href="https://github.blog/2022-04-12-git-security-vulnerability-announced/" targ記事

    脆弱性を告知するブログ記事

確認された脆弱性はCVE-2022-24765CVE-2022-24767の2つ。前者は複数のユーザーが利用するPCで共有する作業フォルダーにリポジトリを作成した場合、各種テキストエディターや統合開発環境が参照した際、configで定義したコマンドが実行できる脆弱性。後者のCVE-2022-24767はGit for Windowsのアンインストーラーを管理者アカウントを通じて実行した際、アンインストーラーが利用する一時フォルダー(環境変数TMPやTEMPで指定したフォルダー)に悪意を持つDLLファイルを配備可能なる脆弱性。

いずれもGitHubからGit for Windows バージョン2.35.2に更新すれば解決する。