macOS 終端工具 iTerm2 被發現一個存在 7 年的重大漏洞

2019年10月13日 09:25 次閱讀 稿源:開源中國 條評論

iTerm2 是非常流行的終端模擬器,被許多開發者與系統管理員廣泛使用,不少人甚至會用它來處理一些不受信任的數據,因此 MOSS(Mozilla Open Source Support Program) 這次選了 iTerm2,并委托 ROS(Radially Open Security)進行安全審核工作。

訪問:

蘋果在線商店(中國)

據了解,這個漏洞在 iTerm2 中已存在長達 7 年,目前分配到的編號為 CVE-2019-9535。這個漏洞可以讓攻擊者在使用者電腦上執行命令。

說起漏洞,iTerm2 這個重大的安全漏洞由 MOSS 資助的安全審核團隊發現,MOSS 于 2015 年成立,從那時起就開始為開源開發者提供資金支持、協助開源與自由軟件的發展。同時還支持開源技術的安全審核,MOSS 的資金正是來自 Mozilla 基金會,以確保開源生態健康發展。

ROS 發現 iTerm2 中的 tmux 整合功能有嚴重的漏洞,而且漏洞至少已經存在 7 年。簡單來說,在大多數情況下,允許攻擊者可對終端產生輸出,也就是能在用戶的電腦上執行命令。ROS 提供了攻擊的 demo,而視頻內容主要是進行表達概念性驗證,因此當用戶連接到惡意的 SSH 服務器后,攻擊者僅示范開啟的計算機程序,實際上還可以進行更多惡意指令。

Mozilla 則提到,這個漏洞需要與用戶進行一定程度的互動,然后攻擊者才能進行后續的攻擊行動,但是由于使用普遍認為安全的指令就會受到攻擊,因此被認為有高度的潛在安全影響。現在 Mozilla、ROS 與 iTerm2 開發者密切合作,推出了最新 3.3.6 版本,而 3.3.5 的安全修補程式也已經發布。Mozilla 表示,雖然軟件會主動提示更新,但是希望開發者能主動進  行更新,減少可能被攻擊機會。

目前 iTerm2 開發者現在已經發布最新的 3.3.6 版本,Mozilla 也提醒使用者應該要盡快更新。

活動入口:

天翼云 - 0元體驗數十款云產品

阿里云技術變現推廣大使招募中

對文章打分

macOS 終端工具 iTerm2 被發現一個存在 7 年的重大漏洞

1 (6%)
已有 條意見

    最新資訊

    加載中...

    今日最熱

    加載中...

    熱門評論

      招聘


      Advertisment ad adsense googles cpro.baidu.com
      created by ceallan 七星彩规律视频17132期