由Mozilla资助的安全审核,发现了一个在MacOS终端仿真器iTerm2存在7年的漏洞CVE-2019-9535,这个漏洞可以让攻击者在用户计算机上执行命令。iTerm2开发者现在已经发布最新的3.3.6版本,Mozilla提醒用户应该要尽快更新。
这个MacOS终端仿真器iTerm2的重大安全漏洞,是由MOSS(Mozilla Open Source Support Program)资助的安全审核发现。MOSS在2015年成立,开始为开源技术人员提供资金支持,协助开源与自由软件的发展,同时还支持开源技术的安全审核,由于Mozilla本身是一间开源公司,而MOSS计划则是他们提供资金,确保开源生态系统健康发展的方法之一。
iTerm2是热门的终端仿真器,由于iTerm2受到开发者与系统管理员广泛使用,而且处理不受信任的数据,因此MOSS这次选了iTerm2,并委托ROS(Radially Open Security)进行安全审核工作。
ROS发现iTerm2中的tmux集成功能有严重的漏洞,而且漏洞至少已经存在7年,其允许在许多情况下,攻击者可对终端产生输出,在用户的计算机上执行命令。ROS提供了攻击范例视频,而视频因为只是表达概念性验证,因此当用户连接到恶意的SSH服务器后,攻击者仅示范打开了计算机程序,实际上还可以进行更多恶意指令。
Mozilla提到,这个漏洞需要一定程度的用户交互,攻击者才能进行后续的攻击行动,但是由于使用普遍认为安全的指令就会受到攻击,因此被认为有高度的潜在安全影响。现在Mozilla、ROS与iTerm2开发人员密切合作,推出了最新3.3.6版本,而3.3.5的安全修补程序也已经发布,Mozilla表示,虽然软件会主动提示更新,但是希望开发者能主动进行更新,减少可能被攻击机会。