首頁>科技>

由Mozilla資助的安全稽核,發現了一個在MacOS終端模擬器iTerm2存在7年的漏洞CVE-2019-9535,這個漏洞可以讓攻擊者在使用者電腦上執行命令。iTerm2開發者現在已經發布最新的3.3.6版本,Mozilla提醒使用者應該要儘快更新。

這個MacOS終端模擬器iTerm2的重大安全漏洞,是由MOSS(Mozilla Open Source SupportProgram)資助的安全稽核發現。MOSS在2015年成立,開始為開源技術人員提供資金支援,協助開源與自由軟體的發展,同時還支援開源技術的安全稽核,由於Mozilla本身是一間開源公司,而MOSS計劃則是他們提供資金,確保開源生態系健康發展的方法之一。

iTerm2是熱門的終端模擬器,由於iTerm2受到開發者與系統管理員廣泛使用,而且處理不受信任的資料,因此MOSS這次選了iTerm2,並委託ROS(Radially Open Security)進行安全稽核工作。

ROS發現iTerm2中的tmux整合功能有嚴重的漏洞,而且漏洞至少已經存在7年,其允許在許多情況下,攻擊者可對終端產生輸出,在使用者的電腦上執行命令。ROS提供了攻擊範例視訊,而視訊因為只是表達概念性驗證,因此當使用者連線到惡意的SSH伺服器後,攻擊者僅示範開啟了計算機程式,實際上還可以進行更多惡意指令。

Mozilla提到,這個漏洞需要一定程度的使用者互動,攻擊者才能進行後續的攻擊行動,但是由於使用普遍認為安全的指令就會受到攻擊,因此被認為有高度的潛在安全影響。現在Mozilla、ROS與iTerm2開發人員密切合作,推出了最新3.3.6版本,而3.3.5的安全修補程式也已經發布,Mozilla表示,雖然軟體會主動提示更新,但是希望開發者能主動進行更新,減少可能被攻擊機會。

最新評論
  • 整治雙十一購物亂象,國家再次出手!該跟這些套路說再見了
  • 支付寶又放“大招”,繼花唄借唄後又出新功能