A principios de noviembre, Google reveló públicamente un defecto de seguridad de «alta gravedad» que su equipo de Project Zero había descubierto en GitHub, propiedad de Microsoft. Después de haberla divulgado en privado a GitHub y proporcionado tiempo para que el problema fuera parcheado. Como resultado y tras el plazo ofrecido por Project Zero, Google lo divulgó públicamente.
104 días después, GitHub finalmente ha parcheado el problema
El defecto hacía mención a la funcionalidad de comandos de flujo de trabajo de GitHub. Que es la comunidad entre el ejecutor de acciones y las acciones ejecutadas. Es parte de la característica Acciones de GitHub. La gente de Project Zero en Google afirmaba que la característica es «fundamentalmente insegura», y el miembro del grupo que informó del problema, Felix Wilhelm, ofreció hasta 2 soluciones posibles, una de las dos es una solución a corto plazo, y otra es una solución a largo plazo.
Parece que GitHub ha tomado la solución a corto plazo, al menos por ahora. El estado de las notas de revisión de GitHub:
- Deshabilitar los comandos del Old Runner set-env y add-path
- Actualizar los scripts de instalación de dotnet
- Actualizar la versión del runner y las notas de la versión