隐藏在Mac OS中7年的漏洞终于被修复,终端利器iTerm2已更新

发布者:Editor
发布于:2019-10-14 18:00



iTerm2作为一款终端工具,以其多样化的功能为Mac增色不少。


但是让人没有想到的是。


这款受欢迎的工具中竟然有一个漏洞潜伏了长达7年的时间。



功能强大的iTerm



iTerm2是Mac OS中一种提供广泛功能的终端模拟器,包括主题、字体、自动建议填充、快捷命令等多样化的配置。



此外,它还与tmux集成,tmux是一个强大的终端多路复用器,可以进行多个会话。该工具还被用于处理不受信任的数据,并且是开源的,这些属性使iTerm2成为许多开发人员和系统管理员的流行选择。

但是让人没有想到的是在iTerm2中存在一个安全隐患,并在七年的时间里一直没有得到解决。

该漏洞是由MOSS(Mozilla Open Source Support Program)资助的安全审核团队ROS(Radically Open Security )发现的。漏洞名为CVE-2019-9535。
MOSS成立于2015年,通过为开源技术人员提供资金支持,协助开源与自由软件的发展,同时还支持对广泛使用的开源技术(如iTerm2)的安全审核,确保开源生态系统的健康和安全。


严重漏洞



在审核过程中,ROS发现iTerm2的tmux集成功能存在严重漏洞,当用户使用该终端连接到恶意源时,会导致远程攻击者对终端产生输出,以远程执行任意命令。


Mozilla发布了一个概念验证视频,其内容显示了当用户连接到恶意SSH服务器后,攻击者在如何进行操作。此外,视频仅示范开启的计算机程序,实际上还可以进行更多恶意指令。


一般情况下,利用此漏洞需要某种程度的用户交互,以方便攻击者采取后续活动,但是由于使用普遍认为安全的指令就会被利用,因此其潜在的安全影响仍值得关注。


iTerm2的开发人员George Nachman今天宣布了修复该漏洞的补丁程序,以确保用户不再受到此安全威胁。鼓励用户更新到版本3.3.6或3.3.7beta1版本。



* 本文由看雪编辑 LYA 编译自Bleeping Computer,转载请注明来源及作者。




声明:该文观点仅代表作者本人,转载请注明来自看雪