找回密码
 免费注册

iTerm2 被发现一个存在 7 年的重大漏洞,开发者尽快更新。

46811 - 2019-10-13 12:44|显示全部楼层
Safari 13.0.2 macOS 10.15
iTerm2 是非常流行的终端模拟器,被许多开发者与系统管理员广泛使用,不少人甚至会用它来处理一些不受信任的数据,因此 MOSS(Mozilla Open Source Support Program) 这次选了 iTerm2,并委托 ROS(Radially Open Security)进行安全审核工作。

1_VWdXxjU4DXJNdqpxYVVVvw.png


据了解,这个漏洞在 iTerm2 中已存在长达 7 年,目前分配到的编号为 CVE-2019-9535。这个漏洞可以让攻击者在使用者电脑上执行命令。

说起漏洞,iTerm2 这个重大的安全漏洞由 MOSS 资助的安全审核团队发现,MOSS 于 2015 年成立,从那时起就开始为开源开发者提供资金支持、协助开源与自由软件的发展。同时还支持开源技术的安全审核,MOSS 的资金正是来自 Mozilla 基金会,以确保开源生态健康发展。

ROS 发现 iTerm2 中的 tmux 整合功能有严重的漏洞,而且漏洞至少已经存在 7 年。简单来说,在大多数情况下,允许攻击者可对终端产生输出,也就是能在用户的电脑上执行命令。ROS 提供了攻击的 demo,而视频内容主要是进行表达概念性验证,因此当用户连接到恶意的 SSH 服务器后,攻击者仅示范开启的计算机程序,实际上还可以进行更多恶意指令。

Screen-Shot-2019-10-08-at-2.18.36-PM.png


Mozilla 则提到,这个漏洞需要与用户进行一定程度的互动,然后攻击者才能进行后续的攻击行动,但是由于使用普遍认为安全的指令就会受到攻击,因此被认为有高度的潜在安全影响。现在 Mozilla、ROS 与 iTerm2 开发者密切合作,推出了最新 3.3.6 版本,而 3.3.5 的安全修补程式也已经发布。Mozilla 表示,虽然软件会主动提示更新,但是希望开发者能主动进  行更新,减少可能被攻击机会。

目前 iTerm2 开发者现在已经发布最新的 3.3.6 版本,Mozilla 也提醒使用者应该要尽快更新。

来源
https://blog.mozilla.org/securit ... l-issue-moss-audit/
19-10-13 20:44:35

Safari 13.0.2 macOS 10.15
还好我连这个软件是什么都没了解过😂
19-10-13 23:16:09
xxoommd ( )

Chrome 77.0.3865.90 macOS 10.15.0
一直都用mac自带的Terminal,挺好的;升了10.15还推荐把zsh作为默认shell,看来我这种长期用bash的人已经成为老古董了🤣🤣🤣
19-10-14 01:29:16
猫院老板 ( ☆☆☆☆☆ ) ( 赞 139 )

Safari 13.0.2 macOS 10.15
xxoommd 发表于 19-10-13 23:16一直都用mac自带的Terminal,挺好的;升了10.15还推荐把zsh作为默认shell,看来我这种长期用bash的人已经成为老古董了🤣🤣🤣

iTerm2的Hot Key功能挺好用,直接从上面弹一个终端命令行下来
19-10-14 05:56:19
levitabris ( ☆☆☆☆ ) ( 赞 1 )

Safari 13.0.2 macOS 10.15
用过很久以后发现不是那么必要,需要什么功能自己去装shell就够了,自带的Termial够用。

 

您需要登录后才可以回帖 登录 | 免费注册

联系我们|急聘英才|移动版|站点地图|iPhone 客户端|保修查询|排行榜|Mac软件宝箱|麦克叉 ( 京ICP证110625号,京ICP备11029045号-1 )

Since Feb-16-2005

回顶部