iTerm2作为一款终端工具,以其多样化的功能为Mac增色不少。
但是让人没有想到的是。
这款受欢迎的工具中竟然有一个漏洞潜伏了长达7年的时间。
iTerm2是Mac OS中一种提供广泛功能的终端模拟器,包括主题、字体、自动建议填充、快捷命令等多样化的配置。
此外,它还与tmux集成,tmux是一个强大的终端多路复用器,可以进行多个会话。该工具还被用于处理不受信任的数据,并且是开源的,这些属性使iTerm2成为许多开发人员和系统管理员的流行选择。但是让人没有想到的是在iTerm2中存在一个安全隐患,并在七年的时间里一直没有得到解决。该漏洞是由MOSS(Mozilla Open Source Support Program)资助的安全审核团队ROS(Radically Open Security )发现的。漏洞名为CVE-2019-9535。MOSS成立于2015年,通过为开源技术人员提供资金支持,协助开源与自由软件的发展,同时还支持对广泛使用的开源技术(如iTerm2)的安全审核,确保开源生态系统的健康和安全。在审核过程中,ROS发现iTerm2的tmux集成功能存在严重漏洞,当用户使用该终端连接到恶意源时,会导致远程攻击者对终端产生输出,以远程执行任意命令。
Mozilla发布了一个概念验证视频,其内容显示了当用户连接到恶意SSH服务器后,攻击者在如何进行操作。此外,视频仅示范开启的计算机程序,实际上还可以进行更多恶意指令。
一般情况下,利用此漏洞需要某种程度的用户交互,以方便攻击者采取后续活动,但是由于使用普遍认为安全的指令就会被利用,因此其潜在的安全影响仍值得关注。
iTerm2的开发人员George Nachman今天宣布了修复该漏洞的补丁程序,以确保用户不再受到此安全威胁。鼓励用户更新到版本3.3.6或3.3.7beta1版本。
* 本文由看雪编辑 LYA 编译自 Bleeping Computer,转载请注明来源及作者。
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458299789&idx=2&sn=8b6448ce4b0230c8891b98b74ad26017&chksm=b1819d0786f61411c91b9fc3f17829047fa4e02adf804eeb6f51dff29db0c7616f154ec1f801#rd
如有侵权请联系:admin#unsafe.sh