香港六彩一尾中特

網絡空間安全:行業資訊、技術分享、法規研討、趨勢分析……

“游俠安全網”創建了網絡安全從業者QQ大群(群號:1255197) ,歡迎各位同仁加入!有其它問題如合作等,請聯系站長“網路游俠”,QQ:55984512
?

macOS 終端工具 iTerm2 被發現一個存在 7 年的重大漏洞

2019-10-13 20:59 推薦: 瀏覽: 144 views 字號:

摘要: iTerm2 是非常流行的終端模擬器,被許多開發者與系統管理員廣泛使用,不少人甚至會用它來處理一些不受信任的數據,因此 MOSS(Mozilla Open Source Support Program) 這次選了 iTerm2,并委托 ROS(Radially...

iTerm2 是非常流行的終端模擬器,被許多開發者與系統管理員廣泛使用,不少人甚至會用它來處理一些不受信任的數據,因此 MOSS(Mozilla Open Source Support Program) 這次選了 iTerm2,并委托 ROS(Radially Open Security)進行安全審核工作。

據了解,這個漏洞在 iTerm2 中已存在長達 7 年,目前分配到的編號為?CVE-2019-9535。這個漏洞可以讓攻擊者在使用者電腦上執行命令。

說起漏洞,iTerm2 這個重大的安全漏洞由 MOSS 資助的安全審核團隊發現,MOSS 于 2015 年成立,從那時起就開始為開源開發者提供資金支持、協助開源與自由軟件的發展。同時還支持開源技術的安全審核,MOSS 的資金正是來自 Mozilla 基金會,以確保開源生態健康發展。

ROS 發現 iTerm2 中的 tmux 整合功能有嚴重的漏洞,而且漏洞至少已經存在 7 年。簡單來說,在大多數情況下,允許攻擊者可對終端產生輸出,也就是能在用戶的電腦上執行命令。ROS 提供了攻擊的 demo,而視頻內容主要是進行表達概念性驗證,因此當用戶連接到惡意的 SSH?服務器后,攻擊者僅示范開啟的計算機程序,實際上還可以進行更多惡意指令。

Mozilla 則提到,這個漏洞需要與用戶進行一定程度的互動,然后攻擊者才能進行后續的攻擊行動,但是由于使用普遍認為安全的指令就會受到攻擊,因此被認為有高度的潛在安全影響。現在 Mozilla、ROS 與 iTerm2 開發者密切合作,推出了最新 3.3.6 版本,而 3.3.5 的安全修補程式也已經發布。Mozilla 表示,雖然軟件會主動提示更新,但是希望開發者能主動進? 行更新,減少可能被攻擊機會。

目前 iTerm2 開發者現在已經發布最新的 3.3.6 版本,Mozilla 也提醒使用者應該要盡快更新。

稿源:開源中國

聯系站長租廣告位!
?
中國首席信息安全官


關閉


關閉
香港六彩一尾中特 日本三级2017 河北麻将游戏在线 银色雌狮4x 十一选五山东一定牛 大唐河北麻将群一元 旧版联众单机麻将新版 欢乐四人大众麻将 湖北快3 AV在线看 来一把麻将河北代理 东北麻将叫什么麻将 快乐8 3d近十期试机号列 立博即时指数 中国体育彩票比分直播 理财平台