此外,它还与tmux集成,tmux是一个强大的终端多路复用器,可以进行多个会话。该工具还被用于处理不受信任的数据,并且是开源的,这些属性使iTerm2成为许多开发人员和系统管理员的流行选择。
该漏洞是由MOSS(Mozilla Open Source Support Program)资助的安全审核团队ROS(Radically Open Security )发现的。漏洞名为CVE-2019-9535。
MOSS成立于2015年,通过为开源技术人员提供资金支持,协助开源与自由软件的发展,同时还支持对广泛使用的开源技术(如iTerm2)的安全审核,确保开源生态系统的健康和安全。
严重漏洞
在审核过程中,ROS发现iTerm2的tmux集成功能存在严重漏洞,当用户使用该终端连接到恶意源时,会导致远程攻击者对终端产生输出,以远程执行任意命令。
Mozilla发布了一个概念验证视频,其内容显示了当用户连接到恶意SSH服务器后,攻击者在如何进行操作。此外,视频仅示范开启的计算机程序,实际上还可以进行更多恶意指令。
一般情况下,利用此漏洞需要某种程度的用户交互,以方便攻击者采取后续活动,但是由于使用普遍认为安全的指令就会被利用,因此其潜在的安全影响仍值得关注。
iTerm2的开发人员George Nachman今天宣布了修复该漏洞的补丁程序,以确保用户不再受到此安全威胁。鼓励用户更新到版本3.3.6或3.3.7beta1版本。
* 本文由看雪编辑 LYA 编译自Bleeping Computer,转载请注明来源及作者。