隱藏在Mac OS中7年的漏洞終於被修復,終端利器iTerm2已更新

Editor發表於2019-10-14
隱藏在Mac OS中7年的漏洞終於被修復,終端利器iTerm2已更新



iTerm2作為一款終端工具,以其多樣化的功能為Mac增色不少。


但是讓人沒有想到的是。


這款受歡迎的工具中竟然有一個漏洞潛伏了長達7年的時間。



功能強大的iTerm



iTerm2是Mac OS中一種提供廣泛功能的終端模擬器,包括主題、字型、自動建議填充、快捷命令等多樣化的配置。

隱藏在Mac OS中7年的漏洞終於被修復,終端利器iTerm2已更新

此外,它還與tmux整合,tmux是一個強大的終端多路複用器,可以進行多個會話。該工具還被用於處理不受信任的資料,並且是開源的,這些屬性使iTerm2成為許多開發人員和系統管理員的流行選擇。

但是讓人沒有想到的是在iTerm2中存在一個安全隱患,並在七年的時間裡一直沒有得到解決。

該漏洞是由MOSS(Mozilla Open Source Support Program)資助的安全稽核團隊ROS(Radically Open Security )發現的。漏洞名為CVE-2019-9535。
MOSS成立於2015年,通過為開源技術人員提供資金支援,協助開源與自由軟體的發展,同時還支援對廣泛使用的開源技術(如iTerm2)的安全稽核,確保開源生態系統的健康和安全。


嚴重漏洞



在稽核過程中,ROS發現iTerm2的tmux整合功能存在嚴重漏洞,當使用者使用該終端連線到惡意源時,會導致遠端攻擊者對終端產生輸出,以遠端執行任意命令。


Mozilla釋出了一個概念驗證視訊,其內容顯示了當使用者連線到惡意SSH伺服器後,攻擊者在如何進行操作。此外,視訊僅示範開啟的計算機程式,實際上還可以進行更多惡意指令。


一般情況下,利用此漏洞需要某種程度的使用者互動,以方便攻擊者採取後續活動,但是由於使用普遍認為安全的指令就會被利用,因此其潛在的安全影響仍值得關注。


iTerm2的開發人員George Nachman今天宣佈了修復該漏洞的補丁程式,以確保使用者不再受到此安全威脅。鼓勵使用者更新到版本3.3.6或3.3.7beta1版本。



* 本文由看雪編輯 LYA 編譯自Bleeping Computer,轉載請註明來源及作者。



相關文章