iTerm2是非常流行的终端模拟器，被许多开发者与系统管理员广泛使用，不少人甚至会用它来处理一些不受信任的数据，因此MOSS(Mozilla Open Source Support Program)这次选了iTerm2，并委托ROS(Radially Open Security)进行安全审核工作。

　　据了解，这个漏洞在iTerm2中已存在长达7年，目前分配到的编号为 CVE-2019-9535。这个漏洞可以让攻击者在使用者电脑上执行命令。

　　说起漏洞，iTerm2这个重大的安全漏洞由MOSS资助的安全审核团队发现，MOSS于2015年成立，从那时起就开始为开源开发者提供资金支持、协助开源与自由软件的发展。同时还支持开源技术的安全审核，MOSS的资金正是来自Mozilla基金会，以确保开源生态健康发展。

　　ROS发现iTerm2中的tmux整合功能有严重的漏洞，而且漏洞至少已经存在7年。简单来说，在大多数情况下，允许攻击者可对终端产生输出，也就是能在用户的电脑上执行命令。ROS提供了攻击的demo，而视频内容主要是进行表达概念性验证，因此当用户连接到恶意的SSH服务器后，攻击者仅示范开启的计算机程序，实际上还可以进行更多恶意指令。

　　Mozilla则提到，这个漏洞需要与用户进行一定程度的互动，然后攻击者才能进行后续的攻击行动，但是由于使用普遍认为安全的指令就会受到攻击，因此被认为有高度的潜在安全影响。现在Mozilla、ROS与iTerm2开发者密切合作，推出了最新3.3.6版本，而3.3.5的安全修补程式也已经发布。Mozilla表示，虽然软件会主动提示更新，但是希望开发者能主动进 行更新，减少可能被攻击机会。

　　目前iTerm2开发者现在已经发布最新的3.3.6版本，Mozilla也提醒使用者应该要尽快更新。

特别提醒：本网内容转载自其他媒体，目的在于传递更多信息，并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益，请及时联系我们，本站将会在24小时内处理完毕。