<big id="yeiyz"><ruby id="yeiyz"></ruby></big>
    <track id="yeiyz"></track>
    <track id="yeiyz"></track>
    <p id="yeiyz"><del id="yeiyz"></del></p><td id="yeiyz"><option id="yeiyz"></option></td>
    1. <p id="yeiyz"></p>

      <td id="yeiyz"></td>

      macOS 終端工具 iTerm2 被發現一個存在 7 年的重大漏洞

      局長
       局長
      發布于 2019年10月13日
      收藏 3

      AI大咖帶你暢游深度學習 >>>

      此漏洞會允許攻擊者在用戶電腦上遠程執行命令,Mozilla 提醒用戶應該立即主動升級軟件。

      iTerm2 是非常流行的終端模擬器,被許多開發者與系統管理員廣泛使用,不少人甚至會用它來處理一些不受信任的數據,因此 MOSS(Mozilla Open Source Support Program) 這次選了 iTerm2,并委托 ROS(Radially Open Security)進行安全審核工作。

      據了解,這個漏洞在 iTerm2 中已存在長達 7 年,目前分配到的編號為 CVE-2019-9535。這個漏洞可以讓攻擊者在使用者電腦上執行命令。

      說起漏洞,iTerm2 這個重大的安全漏洞由 MOSS 資助的安全審核團隊發現,MOSS 于 2015 年成立,從那時起就開始為開源開發者提供資金支持、協助開源與自由軟件的發展。同時還支持開源技術的安全審核,MOSS 的資金正是來自 Mozilla 基金會,以確保開源生態健康發展。

      ROS 發現 iTerm2 中的 tmux 整合功能有嚴重的漏洞,而且漏洞至少已經存在 7 年。簡單來說,在大多數情況下,允許攻擊者可對終端產生輸出,也就是能在用戶的電腦上執行命令。ROS 提供了攻擊的 demo,而視頻內容主要是進行表達概念性驗證,因此當用戶連接到惡意的 SSH 服務器后,攻擊者僅示范開啟的計算機程序,實際上還可以進行更多惡意指令。

      Mozilla 則提到,這個漏洞需要與用戶進行一定程度的互動,然后攻擊者才能進行后續的攻擊行動,但是由于使用普遍認為安全的指令就會受到攻擊,因此被認為有高度的潛在安全影響。現在 Mozilla、ROS 與 iTerm2 開發者密切合作,推出了最新 3.3.6 版本,而 3.3.5 的安全修補程式也已經發布。Mozilla 表示,雖然軟件會主動提示更新,但是希望開發者能主動進  行更新,減少可能被攻擊機會。

      目前 iTerm2 開發者現在已經發布最新的 3.3.6 版本,Mozilla 也提醒使用者應該要盡快更新。

      本站文章除注明轉載外,均為本站原創或編譯。歡迎任何形式的轉載,但請務必注明出處,尊重他人勞動共創開源社區。
      轉載請注明:文章轉載自 OSCHINA 社區 [http://www.url23.com]
      本文標題:macOS 終端工具 iTerm2 被發現一個存在 7 年的重大漏洞
      加載中

      最新評論(6

      gxm2052
      gxm2052
      Mac神器
      zigzagroad
      zigzagroad
      還好沒有Mac等蘋果設備 ??
      開源中國首席羅納爾多
      開源中國首席羅納爾多
      這是類似cmd嗎?多了什么功能?漏洞細節在哪看?github嗎?
      冰力
      冰力
      這東西挺難用
      平安OSC
      平安OSC
      一點都不難用啊,終端中的神器。平時有事沒事cmd + o就行了
      Helium_AI
      Helium_AI
      3.3.7beta1了。跳過
      返回頂部
      頂部
      聚看影院