iTerm2是非常流行的終端模擬器，被許多開發(fā)者與系統(tǒng)管理員廣泛使用，不少人甚至會用它來處理一些不受信任的數(shù)據(jù)，因此MOSS(Mozilla Open Source Support Program)這次選了iTerm2，并委托ROS(Radially Open Security)進行安全審核工作。

　　據(jù)了解，這個漏洞在iTerm2中已存在長達7年，目前分配到的編號為 CVE-2019-9535。這個漏洞可以讓攻擊者在使用者電腦上執(zhí)行命令。

　　說起漏洞，iTerm2這個重大的安全漏洞由MOSS資助的安全審核團隊發(fā)現(xiàn)，MOSS于2015年成立，從那時起就開始為開源開發(fā)者提供資金支持、協(xié)助開源與自由軟件的發(fā)展。同時還支持開源技術(shù)的安全審核，MOSS的資金正是來自Mozilla基金會，以確保開源生態(tài)健康發(fā)展。

　　ROS發(fā)現(xiàn)iTerm2中的tmux整合功能有嚴重的漏洞，而且漏洞至少已經(jīng)存在7年。簡單來說，在大多數(shù)情況下，允許攻擊者可對終端產(chǎn)生輸出，也就是能在用戶的電腦上執(zhí)行命令。ROS提供了攻擊的demo，而視頻內(nèi)容主要是進行表達概念性驗證，因此當用戶連接到惡意的SSH服務器后，攻擊者僅示范開啟的計算機程序，實際上還可以進行更多惡意指令。

　　Mozilla則提到，這個漏洞需要與用戶進行一定程度的互動，然后攻擊者才能進行后續(xù)的攻擊行動，但是由于使用普遍認為安全的指令就會受到攻擊，因此被認為有高度的潛在安全影響。現(xiàn)在Mozilla、ROS與iTerm2開發(fā)者密切合作，推出了最新3.3.6版本，而3.3.5的安全修補程式也已經(jīng)發(fā)布。Mozilla表示，雖然軟件會主動提示更新，但是希望開發(fā)者能主動進 行更新，減少可能被攻擊機會。

　　目前iTerm2開發(fā)者現(xiàn)在已經(jīng)發(fā)布最新的3.3.6版本，Mozilla也提醒使用者應該要盡快更新。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔此類作品侵權(quán)行為的直接責任及連帶責任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。