iTerm2, 有名なオープンソースのターミナルエミュレータmacOSアプリ, 重大な欠陥に対して脆弱であることが判明しました, これはCVE-2019-9535として知られています.
この欠陥は、Mozillaが後援する監査中に発見されました, Firefoxブラウザの背後にある会社. iTerm2の目的は, アプリケーションは、ネイティブのターミナルmacOSアプリとほぼ同じです。, ターミナルの代替品であり、iTermの後継です.
CVE-2019-9535 – iTerm2の重大なセキュリティの脆弱性
Mozillaオープンソースサポートプログラムによって資金提供されたセキュリティ監査 (モス) 広く使用されているmacOSターミナルエミュレータiTerm2に重大なセキュリティの脆弱性を発見しました. 脆弱性を見つけた後, Mozilla, 根本的にオープンなセキュリティ (ROS, 監査を実施した会社), iTerm2の開発者であるGeorgeNachmanは緊密に協力してパッチを開発およびリリースし、ユーザーがこのセキュリティの脅威にさらされないようにしました。, 言った この問題の詳細を記したブログ投稿でのMozillaのTomRitter.
この脆弱性は、iTerm2のtmux統合機能で発見されました. 最悪の部分はそれが少なくともそこにあったということです 7 年. この問題は、ユーザーとの対話が必要なため、悪用するのはそれほど簡単ではない可能性があることに注意してください。. それにもかかわらず, コマンドによって悪用される可能性があるという事実は、それを十分に危険なものにします.
要するに, CVE-2019-9535は、ユーザーがファイルを表示しているとき、またはiTerm2で作成された入力を受信しているときに、攻撃者がユーザーのマシンでコマンドを実行できる可能性があるため、重大なセキュリティ問題と見なされます.
全てのユーザー, 開発者や管理者など, iTerm2の できるだけ早く更新する アプリの最新バージョンに (3.3.6).
リッターによると, “端末への出力を生成できる攻撃者は、, 多くの場合, ユーザーのコンピューターでコマンドを実行する.” 攻撃ベクトルには、攻撃者が制御するSSHサーバーまたはcurlなどのコマンドへの接続が含まれます https://Attacker.com と尻尾 -f / var / log / apache2 / referer_log. コミュニティがもっと多くの創造的な例を見つけることを期待しています, 研究者は付け加えた.
パッチはすぐに適用する必要があります, 未知の方法で悪用される可能性があるため, 研究者は警告します.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: