由Mozilla資助的安全審核,發現了一個在MacOS終端模擬器iTerm2存在7年的漏洞CVE-2019-9535,這個漏洞可以讓攻擊者在使用者電腦上執行命令。iTerm2開發者現在已經發布最新的3.3.6版本,Mozilla提醒使用者應該要盡快更新。

這個MacOS終端模擬器iTerm2的重大安全漏洞,是由MOSS(Mozilla Open Source Support Program)資助的安全審核發現。MOSS在2015年成立,開始為開源技術人員提供資金支援,協助開源與自由軟體的發展,同時還支援開源技術的安全審核,由於Mozilla本身是一間開源公司,而MOSS計畫則是他們提供資金,確保開源生態系健康發展的方法之一。

iTerm2是熱門的終端模擬器,由於iTerm2受到開發者與系統管理員廣泛使用,而且處理不受信任的資料,因此MOSS這次選了iTerm2,並委託ROS(Radially Open Security)進行安全審核工作。

ROS發現iTerm2中的tmux整合功能有嚴重的漏洞,而且漏洞至少已經存在7年,在多種情況下,允許攻擊者可對終端產生輸出,在使用者的電腦上執行命令。ROS提供了攻擊範例影片,而影片因為只是表達概念性驗證,因此當使用者連接到惡意的SSH伺服器後,攻擊者僅示範開啟了計算機程式,實際上還可以進行更多惡意指令。

Mozilla提到,這個漏洞需要一定程度的使用者互動,攻擊者才能進行後續的攻擊行動,但是由於使用普遍認為安全的指令就會受到攻擊,因此被認為有高度的潛在安全影響。現在Mozilla、ROS與iTerm2開發人員密切合作,推出了最新3.3.6版本,而3.3.5的安全修補程式也已經發布,Mozilla表示,雖然軟體會主動提示更新,但是希望開發者能主動進行更新,減少可能被攻擊機會。


Advertisement

更多 iThome相關內容