В терминале iTerm2 исправили уязвимость удалённого исполнения кода

В терминале iTerm2 для macOS нашли уязвимость удалённого исполнения кода. Исследователи говорят, она была активна на протяжении 7 лет. Уязвимость исправили в версии iTerm2 3.3.6.

Проблема связана с интеграцией iTerm2 и менеджера терминалов tmux. Через неё злоумышленник может удалённо выполнить произвольный код с привилегиями текущего пользователя. Нужно всего лишь подменить вывод в консоли. Пример такой атаки в видео:

Баг выявили на аудите в рамках Mozilla Open Source Support — проекта, стремящегося обеспечить безопасность Open Source экосистемы. iTerm 2 выбрали из-за его популярности — и не прогадали. Семилетняя уязвимость угрожает 100 тысячам пользователей, в зоне риска в первую очередь разработчики и системные администраторы.

Source: блог Mozilla

Не смешно? А здесь смешно: @ithumor