iTerm2, en velkendt open source terminal emulator MacOS app, har vist sig sårbare over for e kritisk fejl, der er kendt som CVE-2019-9535.
Fejlen blev opdaget under en audit sponsoreret af Mozilla, firmaet bag Firefox-browseren. Som med henblik på iTerm2, ansøgningen er næsten identisk med det native Terminal Macos app, og er en erstatning for Terminal og efterfølgeren til iTerm.
CVE-2019-9535 – En kritisk sikkerhedsbrist i iTerm2
En sikkerhed revision finansieret af Mozilla Open Source Support Programme (MOS) har opdaget en kritisk sikkerhedsbrist i den udbredte MacOS terminalemulator iTerm2. Efter at have fundet sårbarheden, Mozilla, Radikalt Open Security (ROS, firmaet, der udførte revisionen), og iTerm2 udvikler George Nachman arbejdet tæt sammen om at udvikle og frigive en patch til at sikre, at brugerne ikke længere var omfattet af denne sikkerhedstrussel, sagde Mozillas Tom Ritter i et blogindlæg beskriver problemet.
Sårbarheden blev opdaget i funktion i iTerm2 tmux integration. Den værste del er, at det har været der i mindst 7 år. Det skal bemærkes, at spørgsmålet ikke kan være så let at udnytte, da det kræver bruger interagerer. Ikke desto mindre, det faktum, at det kan udnyttes af kommandoer gør det farligt nok.
Kort, CVE-2019-9535 betragtes som en alvorlig sikkerhedsproblem, da det kan give en hacker at udføre kommandoer på en brugers maskine, når de ser en fil eller modtager input udformet i iTerm2.
Alle brugere, såsom udviklere og administratorer, af iTerm2 opfordres til at opdatere så hurtigt som muligt til den nyeste version af app (3.3.6).
Ifølge Ritter, “en hacker, der kan producere output til terminalen kan, i mange tilfælde, udføre kommandoer på brugerens computer.” Angrebsvektorer indbefatter tilslutning til en hacker-kontrollerede SSH server eller kommandoer som krøller https://attacker.com og hale -f / var / log / apache2 / referer_log. Vi forventer, at samfundet vil finde mange flere kreative eksempler, forskeren tilføjet.
Plasteret skal anvendes umiddelbart, da det kan udnyttes i ukendte måder, forskere advarer.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: