iTerm2, een bekende open source terminal emulator MacOS app, Gebleken is kwetsbaar voor ernstige tekortkoming e, die zogenaamde CVE-2019-9535.
De fout werd ontdekt tijdens een controle gesponsord door Mozilla, het bedrijf achter de Firefox-browser. Zoals voor het doel van iTerm2, de applicatie is bijna identiek aan de inheemse Terminal MacOS app, en is een vervanging voor Terminal en de opvolger van iTerm.
CVE-2019-9535 – Een kritische Security Vulnerability in iTerm2
Een security audit gefinancierd door de Mozilla Open Source Support Program (MOS) heeft ontdekt dat er een kritische beveiligingsprobleem in de veelgebruikte MacOS terminal emulator iTerm2. Na het vinden van de kwetsbaarheid, Mozilla, Radicaal Open Beveiliging (ROS, het bedrijf dat de audit), en iTerm2 ontwikkelaar George Nachman hebben nauw samengewerkt om te ontwikkelen en laat een patch om ervoor te zorgen spelers waren niet langer onderworpen zijn aan deze bedreiging voor de veiligheid, zei Mozilla's Tom Ritter in een blogpost waarin de kwestie.
Het lek werd ontdekt in de tmux integratie kenmerk van iTerm2. Het ergste is dat het daar ten minste is geweest 7 jaar. Opgemerkt dient te worden dat de kwestie niet zo gemakkelijk te gebruiken, zijn wellicht als het gebruiker interactie vereist. Niettemin, het feit dat het kan worden uitgebuit door commando's maakt het al gevaarlijk genoeg.
Kortom, CVE-2019-9535 wordt beschouwd als een ernstig beveiligingsprobleem als het zou kunnen leiden dat een aanvaller om opdrachten uit te voeren op de computer van een gebruiker wanneer ze het bekijken van een bestand of het ontvangen van invoer vervaardigd in iTerm2.
Alle gebruikers, zoals ontwikkelaars en beheerders, van iTerm2 worden aangespoord om updaten zo snel mogelijk naar de nieuwste versie van de app (3.3.6).
Volgens Ritter, “Een aanvaller die uitgang kan produceren om de terminal kan, vaak, commando's uitvoeren op de computer van de gebruiker.” Aanvalsvectoren omvatten het verbinden met een aanvaller gecontroleerde SSH server of commando's zoals krullen https://attacker.com en de staart -f / var / log / apache2 / referer_log. We verwachten dat de gemeenschap zal veel meer creatieve voorbeelden, de onderzoeker toegevoegde.
De pleister moet onmiddellijk worden toegepast, als het kan worden benut in onbekende manieren, onderzoekers waarschuwen.