隐藏在Mac OS中7年的漏洞终于被修复，终端利器iTerm2已更新

LYA 看雪学院 2021-03-13

iTerm2作为一款终端工具，以其多样化的功能为Mac增色不少。

但是让人没有想到的是。

这款受欢迎的工具中竟然有一个漏洞潜伏了长达7年的时间。

功能强大的iTerm

iTerm2是Mac OS中一种提供广泛功能的终端模拟器，包括主题、字体、自动建议填充、快捷命令等多样化的配置。

此外，它还与tmux集成，tmux是一个强大的终端多路复用器，可以进行多个会话。该工具还被用于处理不受信任的数据，并且是开源的，这些属性使iTerm2成为许多开发人员和系统管理员的流行选择。

但是让人没有想到的是在iTerm2中存在一个安全隐患，并在七年的时间里一直没有得到解决。

该漏洞是由MOSS（Mozilla Open Source Support Program）资助的安全审核团队ROS（Radically Open Security ）发现的。漏洞名为CVE-2019-9535。

MOSS成立于2015年，通过为开源技术人员提供资金支持，协助开源与自由软件的发展，同时还支持对广泛使用的开源技术（如iTerm2）的安全审核，确保开源生态系统的健康和安全。

严重漏洞

在审核过程中，ROS发现iTerm2的tmux集成功能存在严重漏洞，当用户使用该终端连接到恶意源时，会导致远程攻击者对终端产生输出，以远程执行任意命令。

Mozilla发布了一个概念验证视频，其内容显示了当用户连接到恶意SSH服务器后，攻击者在如何进行操作。此外，视频仅示范开启的计算机程序，实际上还可以进行更多恶意指令。

一般情况下，利用此漏洞需要某种程度的用户交互，以方便攻击者采取后续活动，但是由于使用普遍认为安全的指令就会被利用，因此其潜在的安全影响仍值得关注。

iTerm2的开发人员George Nachman今天宣布了修复该漏洞的补丁程序，以确保用户不再受到此安全威胁。鼓励用户更新到版本3.3.6或3.3.7beta1版本。

* 本文由看雪编辑 LYA 编译自 Bleeping Computer，转载请注明来源及作者。