iTerm2是非常流行的終端模擬器,被許多開發(fā)者與系統(tǒng)管理員廣泛使用�,不少人甚至?xí)盟鼇?lái)處理一些不受信任的數(shù)據(jù)����,因此MOSS(Mozilla Open Source Support Program)這次選了iTerm2���,并委托ROS(Radially Open Security)進(jìn)行安全審核工作����。
據(jù)了解���,這個(gè)漏洞在iTerm2中已存在長(zhǎng)達(dá)7年����,目前分配到的編號(hào)為 CVE-2019-9535����。這個(gè)漏洞可以讓攻擊者在使用者電腦上執(zhí)行命令。
說(shuō)起漏洞�,iTerm2這個(gè)重大的安全漏洞由MOSS資助的安全審核團(tuán)隊(duì)發(fā)現(xiàn),MOSS于2015年成立���,從那時(shí)起就開始為開源開發(fā)者提供資金支持�����、協(xié)助開源與自由軟件的發(fā)展��。同時(shí)還支持開源技術(shù)的安全審核��,MOSS的資金正是來(lái)自Mozilla基金會(huì)���,以確保開源生態(tài)健康發(fā)展�����。
ROS發(fā)現(xiàn)iTerm2中的tmux整合功能有嚴(yán)重的漏洞�����,而且漏洞至少已經(jīng)存在7年���。簡(jiǎn)單來(lái)說(shuō),在大多數(shù)情況下����,允許攻擊者可對(duì)終端產(chǎn)生輸出,也就是能在用戶的電腦上執(zhí)行命令��。ROS提供了攻擊的demo��,而視頻內(nèi)容主要是進(jìn)行表達(dá)概念性驗(yàn)證��,因此當(dāng)用戶連接到惡意的SSH服務(wù)器后�,攻擊者僅示范開啟的計(jì)算機(jī)程序,實(shí)際上還可以進(jìn)行更多惡意指令�����。
Mozilla則提到�����,這個(gè)漏洞需要與用戶進(jìn)行一定程度的互動(dòng)����,然后攻擊者才能進(jìn)行后續(xù)的攻擊行動(dòng),但是由于使用普遍認(rèn)為安全的指令就會(huì)受到攻擊�����,因此被認(rèn)為有高度的潛在安全影響�����,F(xiàn)在Mozilla、ROS與iTerm2開發(fā)者密切合作�����,推出了最新3.3.6版本����,而3.3.5的安全修補(bǔ)程式也已經(jīng)發(fā)布。Mozilla表示�����,雖然軟件會(huì)主動(dòng)提示更新��,但是希望開發(fā)者能主動(dòng)進(jìn) 行更新��,減少可能被攻擊機(jī)會(huì)�。
目前iTerm2開發(fā)者現(xiàn)在已經(jīng)發(fā)布最新的3.3.6版本,Mozilla也提醒使用者應(yīng)該要盡快更新���。
