Написать пост

В терминале iTerm2 исправили уязвимость удалённого исполнения кода

Аватар karpov

Она была активна на протяжении 7 лет. Уязвимость исправили в версии iTerm2 3.3.6.

В терминале iTerm2 для macOS нашли уязвимость удалённого исполнения кода. Исследователи говорят, она была активна на протяжении 7 лет. Уязвимость исправили в версии iTerm2 3.3.6.

Проблема связана с интеграцией iTerm2 и менеджера терминалов tmux. Через неё злоумышленник может удалённо выполнить произвольный код с привилегиями текущего пользователя. Нужно всего лишь подменить вывод в консоли. Пример такой атаки в видео:

Превью видео yPgoSFJ6GyM

Баг выявили на аудите в рамках Mozilla Open Source Support — проекта, стремящегося обеспечить безопасность Open Source экосистемы. iTerm 2 выбрали из-за его популярности — и не прогадали. Семилетняя уязвимость угрожает 100 тысячам пользователей, в зоне риска в первую очередь разработчики и системные администраторы.

Следите за новыми постами
Следите за новыми постами по любимым темам
357 открытий357 показов